基于广谱通信行为分析的木马检测技术研究

基于广谱通信行为分析的木马检测技术研究

ID:32468075

大小:2.10 MB

页数:57页

时间:2019-02-06

基于广谱通信行为分析的木马检测技术研究_第1页
基于广谱通信行为分析的木马检测技术研究_第2页
基于广谱通信行为分析的木马检测技术研究_第3页
基于广谱通信行为分析的木马检测技术研究_第4页
基于广谱通信行为分析的木马检测技术研究_第5页
资源描述:

《基于广谱通信行为分析的木马检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、德兹唐廓辔坐蘑硕士学位捻建姓名:——瞧复生一导师:一,m坠蕉至——专业:堕焦鱼堡二塾叁绫分类号TP309.5密级重庆邮电大学硕士学位论文论文题目基于广谱通信行为分析的木马检测技术研究英文题目—Th—eMechanismandMethodofTheTrojanHorse——DetectionBasedonBroad-spectrumCommunicationBehaviorAnalyses硕士研究生张复生指导教师隆克平博士^敦授学科专业通信与信息系统论文提交日期2QQ2:Q£15论文答辩日期2n02=Q6=0

2、3论文评阅人座直篓叠l教授重废酆鱼.太茔白宏盔噬重鏖盘望答辩委员会主席苏开荣教授重庆邮电大学2007年05月15日重庆邮电大学硕士论文摘要随着htemet的快速发展,网络安全也随之成为一个重要问题。木马做为一种主要的信息窃取和破坏手段,对网络信息安全构成了重大的威胁。因此,木马的检测问题已成为互联网安全研究的一个主要课题.木马的检测技术主要分为静态特征信息检钡l和动态行为检测。静态特征信息检测是应用最早,也是最成熟的木马检测手段,具有准确率高的特点。但随着木马数量的大量增加,静态检测出现了两个问题:一是检测

3、效率下降;二是不能检测未知木马i因此,做为对静态特征信息检测的补充,动态行为检测因其具备检测未知木马的能力而备受重视。动态行为检测是根据木马不同于合法程序的行为特点来进行检测。在众多行为中,网络通信是木马不能回避的关键行为。通信行为包括通信流量在时间上的分布特点以及通信所采用的技术。通信行为检测的关键是将木马通信行为与正常通信行为区别开来。通过总结现有木马通信技术,本文提出了一种基于广谱通信行为分析的木马检测机制。该机制针对木马网络通信技术日益底层化的趋势,提出在网络驱动接口规范(NDIS)层上拦截主机向外

4、发送的数据包.然后经过网络协议(TcP/m)解码,对这些数据包进行分析,得到发送端口信息。通过端口与进程关联,来判断这个数据包是否是木马发出的。同时根据得到的进程信息来查杀木马。该机制的特点是;由于在底层截获数据包,所以该机制具备广谱性,能对多种木马通信方式进行检测;由于端口信息是该机制的关键信息,所以能检测新出现的采用无端[21通信方式的木马;由于通过进程信息来判别木马,因此具备一定的检测进程隐藏木马的能力.其中前两点是以前的基于木马通信行为的检测方式所不具备的.基于广谱通信行为分析的木马检测机制,本文设

5、计了木马检测模块CBDM(CommunicationBehaviorDetectionModule),并实现了其中的关键子模块。由于采用了模块化设计,具备了较好的移植性,因此它可以做为单独的木马检测软件使用,也可以做为附加功能添加到入侵检测系统和防火墙中。本文最后讨论了该模块的局限性,并提出了改进的方向。关键词:木马,检测,通信行为,NDIS,网络协议解码,端口,进程重庆邮电大学硕士论文AbstractWiththerapiddevelopmentoftheInteract,networksecurityh

6、asbecameallimportantissue.Asamajormeanofinformationtheftanddestruction,TrojanHorseposesamajorthreattoinformationsecurity.Therefore,TrojanHorsedetectionisamajorissueonthesecurityindustry.TrojanHorsedetectiontechnologyconsistsofStaticCharacteristicsofInforma

7、tionDetection(SOD)andDynamicBehaviorDetection(DBD).SCIDistheearliestapplicationoftheandisthemostmatureTrojanHorsedetectionmeans,withhighaccuracycharacteristics.However,astheTrojanHorseofthesubstantialincreaseinvolume,staticcharacteristicsofinformationdetec

8、tionhastwoproblems.First,thedetectionefficiencyisdebased;thesecondisitcannotdetecttheunknownTrojanHorse.AsasupplementtoSCID,DynamicBehaviorDetectionwiththeabilitytodetecttheunknownTrojanHorsehasreceivedmoreat

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。