基于行為分析的特種木馬主動(dòng)防御技術(shù)研究.pdf

1、特種木馬是一種為間諜人員專門定制的惡意程序，對(duì)政府和企業(yè)內(nèi)部網(wǎng)絡(luò)都具有很大的攻擊性和破壞性。擺渡木馬作為一種有代表性的特種木馬，是一種專門通過(guò)離線擺渡竊取敏感數(shù)據(jù)的攻擊手段，使得現(xiàn)有的殺毒軟件和防火墻面臨著很大的考驗(yàn)，因此變傳統(tǒng)的被動(dòng)防御為積極的主動(dòng)防御才是更有效的防護(hù)措施。研究特種木馬的主動(dòng)防御技術(shù)有助于保障國(guó)家信息安全以及企業(yè)的商業(yè)秘密安全，具有非常重要的應(yīng)用價(jià)值。
　　 本文在研究了擺渡木馬的攻擊技術(shù)和現(xiàn)有的木馬檢測(cè)技術(shù)的

2、基礎(chǔ)上，設(shè)計(jì)了基于三層安全模型的擺渡木馬主動(dòng)防御框架，包括驅(qū)動(dòng)層、行為分析引擎和應(yīng)用層。從功能上說(shuō)，擺渡木馬防護(hù)系統(tǒng)包括文件監(jiān)控、應(yīng)用程序監(jiān)控、注冊(cè)表監(jiān)控、網(wǎng)絡(luò)監(jiān)控和環(huán)境檢測(cè)五個(gè)模塊。其中環(huán)境檢測(cè)模塊是基于啟發(fā)式分析的思想對(duì)系統(tǒng)運(yùn)行環(huán)境和主機(jī)狀態(tài)信息進(jìn)行獲取和分析，可以及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞，并生成分析報(bào)告。接著研究驅(qū)動(dòng)層捕獲程序行為的方法，重點(diǎn)分析了API鉤子技術(shù)和文件過(guò)濾驅(qū)動(dòng)。行為分析引擎是實(shí)現(xiàn)主動(dòng)防御的核心模塊，本文通過(guò)對(duì)樸素貝葉斯分類

3、算法和行為加權(quán)求和策略的研究，挖掘這兩種主流的行為分析策略的優(yōu)點(diǎn)和不足，提出了基于特征加權(quán)的貝葉斯行為分析算法，從理論上分析了其可行性，構(gòu)建了WFB模型，并對(duì)權(quán)值的選取給出了說(shuō)明，最后給出了此算法應(yīng)用于擺渡木馬防御時(shí)的處理方法。
　　 本文通過(guò)虛擬機(jī)仿真對(duì)擺渡木馬防護(hù)系統(tǒng)進(jìn)行了測(cè)試，然后在行為分析引擎中分別使用樸素貝葉斯分類算法和行為加權(quán)求和策略進(jìn)行測(cè)試。實(shí)驗(yàn)結(jié)果表明，擺渡木馬防護(hù)系統(tǒng)各功能模塊運(yùn)行穩(wěn)定，并且在同等實(shí)驗(yàn)條件下本文