欢迎来到天天文库
浏览记录
ID:35067035
大小:5.95 MB
页数:65页
时间:2019-03-17
《基于沙箱的木马检测技术研究与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、广东工业大学硕±学位论文(工程硕±)基于沙箱的木马检测技术硏究与实现陈燕红二〇—六年五月!学校代号5分类号:1184UDC::密级:学号2。。05080广东工业大学硕±学位论文(工程硕古)基于沙箱的木马检测技术研究与实现陈燕红校内导师姓名、职称:欧統毅副教授校外导师姓名、职称:许正强高级学科(专业)或领域名称:计算机技术学生所属学院:计算机学院论文答辩日期:2016年五月ADissertationSubmittedtoGuangdongUniversityofTechno
2、logyfortheDegreeofMaster(MasterofEngineering)ResearchandIififTranmlementatonoDetectonoopjHorse巨asedonSandboxCandidate:ChenYanhongrv.Supeisor:AssociateProfOuYuyiMay20化SchoolofComputerScienceandTechnologyGuangdongUniversityofTechnology
3、GuanzhouGuandonP.R.China510006,gg,g,摘要摘要近年来,随着计算机技术的快速发展,互联网应用得到快速普及,网络用户也在急剧增加,这也使得互联网用户的机器时刻暴露于黑客的控制监控下,成为黑客的攻击目标一,甚至将用户的机器作为攻击其它机器的终端。木马程序作为恶意程序的种,经常被作为黑客窃取互联网用户的账号信息、私人资料或商业秘密等的重要攻击手段。相比其他种类的恶意程序,木马程序具有更大的破坏性和危险性,因此本文针对木马检测技术进行研究。木马检测技术一般分为静态和动态两种检测技术,静态检测技
4、术不需要直接运行程序,不仅不会对系统造成真实的破坏,而且检测速度快,误报率低,但需要庞大的特征库支撑,并且在面对已知木马程序的隐藏和变化时咯显不足,对于未知木马程序亦是无能为力,;而动态检测技术可实时截获木马行为也能依据木马行为检测出新的木马,但是运行程序需要占用较多的系统资源导致效率不高,对于己经发现的木马一程序,会造成事实上的危害。沙箱巧aiKibox)技术是种通过对程序实施限制隔离的安全保护机制,可用于测试可疑程序,为避免其恶意行为对系统造成危害,把程序生成和修改的资源重定向到沙箱中,程序操作的并不是真实的资源,而是虚拟的资源
5、或者是一个副本,从而实现程序的隔离。因此,本文采用沙箱作为动态检测木马的隔离环一境。,可W保护真实主机不受破坏且具备与真机运行样的效果本文主要针对Windows下的PE文件,分析了当前木马检测技术的不足并进行了怠结。重点研巧木马行为特征分析技术及扩展攻击树模型在木马检测中的应用。提出了一PE文件种改进的基于扩展攻击树模型的木马检测方法,通过分析对比静态分析及基于沙箱的行为监控技术的特点,采用静态检测和基于沙箱的动态检测相结合的方法,实现了对木马更高效、完整地的检测。本文的主要创新包括如下:(1)基于行为特征分析技术,将扩展攻
6、击树模型引入到木马检测中,通过扩展节。点属性信息对模型进行扩展,实现了更精确的匹配模型提出了一种改进的基于扩展攻击树模型的木马检测方法(巧,改进了危险指数算法及模型匹配算法。采用基于木马行为特征的检测技术,实验证明改进后的方法降低了木马检测的误报率和漏报率。I广东工业大学硕去学位论文(3)运用C++编程技术,设计并实现了用于木马检测的沙箱原型系统。关键字:木马;沙箱技术;扩展攻击树模型:API,行为监控技术...IIABSTRACTABSTRACTInrecentyeau,wi化化erapid
7、developmentofcomputert:echnology,Internetapplicatio打sgetrapidpopularization^Internetusersalsoin过sharp玉打crease,whichalsomakesInternetusersmachi打econstantlexosed1:0hackerscontrolandmonitorin化ypg,'becomeatargetforhackers,andeventheusersmachineas
8、anintermediateatt
此文档下载收益归作者所有