论文摘要
目前,计算机网络安全领域正面临着严重的挑战,木马、病毒、蠕虫等各种网络攻击行为正严重威胁着广大用户的数据和信息的安全。其中,木马攻击技术不断变化,已经造成了严重危害。因此,研究木马检测技术具有重要的意义。本文首先对当前国内外多种主流的木马检测技术进行了研究,这些技术总体上可以分为静态检测和动态检测。本文的目的就是寻找一种新的动态检测技术,以弥补当前动态检测技术可能会使系统受到木马损害这一缺陷。本文首先对木马技术的基本知识进行了研究,分析了木马可能的的行为特征。为了更有效地获取木马运行时的行为特征,对三种木马行为特征的获取方式进行了分析和比较,最终确定了使用微软提供的Detours库进行木马行为特征的获取。然后,研究了数据挖掘分类技术中的决策树,对如何将决策树应用到动态检测进行了研究。深入分析了两种决策树算法:ID3算法和C4.5算法。C4.5算法是ID3算法的改进,本文选择了C4.5算法作为建立决策树的算法。设计了基于Detours库的木马动态检测系统。为了保证用户系统的安全,该系统使用了虚拟机作为未知文件运行的环境。该系统可以批量地对未知文件进行自动检测并具有良好的扩展性,最重要的是可以预先对未知文件进行检测,让用户参考检测结果决定对文件的处理,最大限度地降低了用户打开木马文件可能造成的损失。最终的测试结果表明该系统可以有效地进行木马动态检测。
论文目录
摘要Abstract第1章 绪论1.1 课题背景和研究意义1.2 国内外研究现状1.2.1 特征码检测1.2.2 注册表检测1.2.3 文件静态信息检测1.2.4 进程监视检测1.2.5 启发式分析检测1.2.6 主动防御技术1.2.7 人工免疫技术1.2.8 防火墙技术1.2.9 行为分析技术1.3 本文的主要研究内容1.4 本文的组织结构1.5 本章小结第2章 木马行为特征的分析与获取2.1 木马简介2.1.1 木马的组成2.1.2 木马的攻击模式2.1.3 木马的传播和隐藏方式2.2 木马行为特征的分析2.2.1 植入阶段的行为特征2.2.2 运行阶段的行为特征2.2.3 通信阶段的行为特征2.2.4 木马行为特征小结2.3 木马行为特征的获取2.3.1 Detours 库原理简介2.3.2 Detours 库与行为特征获取2.4 本章小结第3章 基于决策树的木马动态检测算法3.1 决策树简介3.2 决策树建立算法3.3 决策树算法在木马动态检测中的应用3.4 本章小结第4章 木马动态检测系统的设计与实现4.1 木马动态检测系统的设计4.1.1 虚拟机与动态检测4.1.2 训练样本行为特征的收集----拦截模块的设计4.1.3 基于决策树的动态检测算法的设计4.1.4 动态检测判定规则的应用----判定模块的设计4.2 木马动态检测系统的实现4.2.1 拦截模块的实现4.2.2 基于决策树的动态检测算法的实现4.2.3 判定模块的实现4.3 本章小结第5章 木马动态检测系统的测试和分析5.1 测试环境及步骤5.2 功能测试分析5.3 性能测试分析5.4 本章小结结论参考文献攻读学位期间发表的学术论文致谢个人简历
相关论文文献
标签:木马论文; 动态检测论文; 算法论文; 决策树论文;
