基于网络行为特征的木马检测技术

发布时间：2024-04-16 06:07

　　随着网络规模的扩大,新的网络业务不断出现,满足了人们快速、灵活获取信息的需求,但各种网络问题也随之而来。网络木马恶化了正常的网络环境,对整个社会造成了不良影响,互联网络的“内容安全”问题越来越受到人们的重视。快速、有效地检测并进一步防范网络木马也就必然成为目前面临的一个重要挑战和难题。基于网络行为特征的木马检测技术是一种基于深度流检测的网络木马检测技术,它在一定程度上补充完善了已投入实战的特征指纹检测技术,满足了实战需求。 课题提出将一种基于进化矩阵的方法用于网络木马的行为特征检测,区分出特征流量和非特征流量,从而高效准确地识别各种木马。目前,行业应用关注的网络木马大多已采用数据加密、混淆等技术手段,导致数据报文无明显内容特征,本文实验得出的特征流量分类准确率可以达到91.5%,结果表明,该方法具有较高的特定网络木马检测准确率。 最后,本文介绍了课题组开发的木马检测系统原型,该系统分为指纹检测以及网络行为特征检测两部分,以指纹检测为主,确保细粒度检测,网络行为特征检测用来弥补深度包检测的一些弱点：对于深度包检测可能存在的误识别,网络行为特征检测进行鉴别并提示重新检测,达到纠错目的,然后...

【文章页数】：77 页

【学位级别】：硕士

【文章目录】：
摘要
Abstract
第一章 绪论
    1.1 课题背景
    1.2 本课题研究的意义
    1.3 课题来源及本人工作
    1.4 本文组织
第二章 木马概述
    2.1 木马定义
        2.1.1 木马发展史
        2.1.2 木马传播
        2.1.3 木马进化
        2.1.4 木马分类
        2.1.5 木马检测
    2.2 木马网络行为分析
        2.2.1 端口反弹技术原理
        2.2.2 端口反弹技术的应用
        2.2.3 端口反弹型木马连接通信模型
        2.2.4 提炼端口反弹型木马连接检测模型
    2.3 本章小结
第三章 网络木马特征检测技术概述
    3.1 深度包检测与深度流检测技术
        3.1.1 DPI技术
        3.1.2 DFI技术
        3.1.3 DPI与DFI相结合
    3.2 木马通信检测流程
        3.2.1 基于网络行为特征库的检测
        3.2.2 进一步深入检测
    3.3 网络木马检测的属性特征
        3.3.1 木马检测特征
    3.4 网络木马检测属性特征的计算
    3.5 网络木马检测属性特征常用算法
        3.5.1 分类算法
        3.5.2 聚类算法
    3.6 本章小结
第四章 一种基于进化矩阵的木马检测方法
    4.1 木马检测方法概述
    4.2 基于进化矩阵的木马检测方法设计思想
    4.3 基于进化矩阵的木马检测方法实现原理与核心算法
        4.3.1 木马特征库的建立
        4.3.2 木马检测器的设计
    4.4 本章小结
第五章 基于网络行为特征的木马检测系统设计与实现
    5.1 系统介绍
        5.1.1 系统框架
    5.2 系统设计与实现
        5.2.1 应用识别引擎框架设计
        5.2.2 触发引擎设计
        5.2.3 SPID算法设计
        5.2.4 SPID度量的选择
        5.2.5 模块设计
    5.3 触发引擎会话管理组合链表设计
    5.4 实际效果测试
    5.5 本章小结
第六章 总结与展望
参考文献
致谢



本文编号：3956565