基于擴展攻擊樹的木馬檢測技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的問題越來越引起人們的關(guān)注。近年來黑客攻擊和入侵事件頻繁，網(wǎng)絡(luò)攻擊行為已從單純的以破壞為目的逐步轉(zhuǎn)化為以攫取經(jīng)濟利益為目的，黑色產(chǎn)業(yè)鏈逐步形成。以木馬為主的惡意程序泛濫成災(zāi)，給人們的生產(chǎn)和生活造成巨大的危害。
　　 目前，網(wǎng)絡(luò)安全領(lǐng)域流行多種木馬檢測技術(shù)，有些木馬檢測技術(shù)已經(jīng)成功地應(yīng)用在木馬查殺工具中。但隨著木馬技術(shù)的發(fā)展，各種新型的、運用各種高級免殺技術(shù)的木馬不斷涌現(xiàn)，給木馬檢測帶來巨大的困難。總

2、體而言，木馬技術(shù)和木馬查殺技術(shù)在對抗中都不斷的向前發(fā)展，但木馬檢測技術(shù)卻始終滯后于木馬技術(shù)的發(fā)展。因此，進一步完善和發(fā)展木馬檢測技術(shù)，促進互聯(lián)網(wǎng)的安全發(fā)展，具有重要的理論和現(xiàn)實意義。
　　 本文提出了一種基于擴展攻擊樹的木馬檢測技術(shù)，通過對木馬完成特定功能所需調(diào)用的危險API序列進行分析，建立木馬擴展攻擊樹，作為描述木馬行為特征的數(shù)據(jù)庫。執(zhí)行木馬檢測時，將待檢測的PE文件與木馬擴展攻擊樹進行匹配，并運用相應(yīng)的計算方法計算出其靜態(tài)

3、危險指數(shù)，通過比較靜態(tài)危險指數(shù)的大小，對目標(biāo)PE文件是否為木馬做出判斷。
　　 本文的主要工作有:(1)研究了木馬攻擊的相關(guān)原理和技術(shù)，并分析了當(dāng)前主流的木馬檢測技術(shù)及其優(yōu)缺點。(2)對攻擊樹的相關(guān)理論進行了介紹，并研究了擴展攻擊樹在木馬檢測中的應(yīng)用，同時提出了對現(xiàn)有的基于擴展攻擊樹的木馬檢測技術(shù)的改進措施，創(chuàng)造性地提出了動靜結(jié)合的木馬檢測新方法。(3)設(shè)計和開發(fā)出基于擴展攻擊樹的木馬檢測程序，包括靜態(tài)木馬檢測程序和動態(tài)行為監(jiān)控