返回
特洛伊木马入侵检测程序的实现【文献综述】

特洛伊木马入侵检测程序的实现【文献综述】

ID:437662

大小:32.00 KB

页数:5页

时间:2017-08-02

特洛伊木马入侵检测程序的实现【文献综述】_第1页
特洛伊木马入侵检测程序的实现【文献综述】_第2页
特洛伊木马入侵检测程序的实现【文献综述】_第3页
特洛伊木马入侵检测程序的实现【文献综述】_第4页
特洛伊木马入侵检测程序的实现【文献综述】_第5页
资源描述:

《特洛伊木马入侵检测程序的实现【文献综述】》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、毕业论文文献综述计算机科学与技术特洛伊木马入侵检测程序的实现一前言随着科学技术的发展,网络特别是网络也迅猛的发展。由于社会上各式各样的人才辈出,所以在计算机网络上有出现了一部分所谓的黑客。随之而来的就是计算机木马病毒,特洛伊木马已有愈发发展的厉害的趋势,为了防止木马对大家造成的直接或间接的损失。当今学者致力于木马检测的研究也更加的深入。各式各样的木马具有很多的特性,而根据实际中的使用情况来采取不同的防御成了社会上的各个专家学者研究的热门对象。二特洛伊木马的概述特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的

2、游戏,这会诱使用户将其安装在PC或者服务器上。完整的木马程序一般由两个部分组成:一个是服务端(被控制端),一个是客户(控制端)。“中了木马”就是指安装了木马的服务端程序,若你的电脑被安装了服务端程序,则拥有相应客户端的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了[2]。木马程序不能算是一种病毒,但可以和最新病毒、漏洞利用工具一起使用用,几乎可以躲过各大杀毒软件,尽管现在越来越多的新版的杀毒软件,可以查杀一些防杀木马了,所以不要认为使用有名的杀毒软件电脑就绝对

3、安全,木马永远是防不胜防的,除非你不上网。三木马检测工具实现检测的思想在计算机安全学中,特洛伊木马是指一种表面上有着某种功能,而其实内部隐藏着完成特殊任务代码的计算机程序。它利用自身具有的其植入功能或着依附其它具有传播能力病毒等的途径,进驻入目标机器,搜集各种各样的敏感信息,并通过网络发回其搜集到的敏感信息,接受植入者的指令,完成各种操作,在某种程度上,木马也可以称为是计算机病毒。但从木马的本质来讲,它是黑客远程控制的工具,具有一定的隐蔽性和非授权性。一般的木马执行文件都很小,一般把木马捆绑到其它的一些应用文件上,用户很难发

4、现它。并且,木马不像其他计算机病毒那样去破坏文件、占用系统资源,而是在背后充当着“间谍”的角色,因此,用户即使中了木马,也很难察觉到它的存在。从以往的网络安全事件[12]3上的统计分析中可以发现,有相当一部分的网络入侵是通过木马来进行。利用木马,攻击者可以窃取用户密码、控制系统操作、进行文件操作等,造成用户资料的泄漏、破坏或整个系统的崩溃[6]。随着网络化程度的不断提高,如何有效的防范木马己成为人们关注的重要课题。目前,国内外很多新版杀毒软件都加入了木马清除的功能,市场上也出现了各种各样的“木马”专杀工具,这些软件主要是根据

5、木马的动态执行特性来识别木马,不能很好的识别潜伏着的木马。针对这一情况,本文提出两种根据文件静态信息检测木马的新方法,能有效识别木马文件,特别是潜伏着的没有发作的木马文件。特征码技术被作为反病毒技术中最基本的技术沿用至今,也是到目前为止各类反病毒软件仍普遍采用的技术。“特征码”是一串信息,它能唯一标识某一非法程序(如病毒、木马等)。研究人员通过对非法程序样本的分析,提取出“特征码”写入反病毒软件的特征码库。特征码技术的基本原理就是在待测文件中查找特征码,一旦查找到,就判定该文件是非法程序或包含了非法程序,并作相应的处理。基于

6、特征码的静态扫描便是对特征码技术最直接的应用,目前的各类反病毒软件均具备这项基本功能,它对用户指定的某个或某几个文件进行扫描,以确定是否包含非法程序的特征码。据有吻合之处,就可以判定该数据文件己遭病毒感染。特征代码法的实现步骤如下(1)采集己知病毒样本。如果病毒既感染COM文件,又感染EXE文件,那么要对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。(2)在病毒样本中,抽取病毒特征代码。对于既感染COM文件又感染EXE文件的病毒样本,要抽取两种样本共有的代码。(3)将特征代码存入病毒库。(4)检测文件。打开被检测文件

7、,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,查询病毒特征代码就可以知道所感染的病毒类型。在具体实现时,它最初是采用对待测文件全部扫描的方式,在病毒等非法程序出现的早期,非法程序的种类不过数百种,采用这种扫描方式还是比较快捷的,但在目前病毒、木马、蠕虫及其变种的总数超过60000的情况下,这种方式显然是效率低下的[8]。为此,采用了一些用来提高特征码扫描效率的技术。因为木马文件一个很明显的特征就是它的文件名和大小,所以通过这两个特征来作为静态查杀的初步选择。另外就是取文件的MD5值来进行

8、查杀,先对扫描文件进行MD5计算,然后根据得到的MD5值与库中特征码进行比较,如果相同就进行处理。Message-Digest泛指字节串(Message)的Hash变换,就是把一个任意长度的字节串变换成一定长的大整数。请注意我使用了“字节串”而不是“字符串”这个词,是因为这种变换只与字节的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。