基于沙箱的木馬檢測技術(shù)研究與實(shí)現(xiàn).pdf

1、近年來，隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)應(yīng)用得到快速普及，網(wǎng)絡(luò)用戶也在急劇增加，這也使得互聯(lián)網(wǎng)用戶的機(jī)器時(shí)刻暴露于黑客的控制監(jiān)控下，成為黑客的攻擊目標(biāo)，甚至將用戶的機(jī)器作為攻擊其它機(jī)器的終端。木馬程序作為惡意程序的一種，經(jīng)常被作為黑客竊取互聯(lián)網(wǎng)用戶的賬號信息、私人資料或商業(yè)秘密等的重要攻擊手段。相比其他種類的惡意程序，木馬程序具有更大的破壞性和危險(xiǎn)性，因此本文針對木馬檢測技術(shù)進(jìn)行研究。
　　木馬檢測技術(shù)一般分為靜態(tài)和動態(tài)兩種檢測技

2、術(shù)，靜態(tài)檢測技術(shù)不需要直接運(yùn)行程序，不僅不會對系統(tǒng)造成真實(shí)的破壞，而且檢測速度快，誤報(bào)率低，但需要龐大的特征庫支撐，并且在面對已知木馬程序的隱藏和變化時(shí)略顯不足，對于未知木馬程序亦是無能為力;而動態(tài)檢測技術(shù)可以實(shí)時(shí)截獲木馬行為，也能依據(jù)木馬行為檢測出新的木馬，但是運(yùn)行程序需要占用較多的系統(tǒng)資源導(dǎo)致效率不高，對于已經(jīng)發(fā)現(xiàn)的木馬程序，會造成事實(shí)上的危害。沙箱(Sandbox)技術(shù)是一種通過對程序?qū)嵤┫拗聘綦x的安全保護(hù)機(jī)制，可用于測試可疑程序

3、，為避免其惡意行為對系統(tǒng)造成危害，把程序生成和修改的資源重定向到沙箱中，程序操作的并不是真實(shí)的資源，而是虛擬的資源或者是一個(gè)副本，從而實(shí)現(xiàn)程序的隔離。因此，本文采用沙箱作為動態(tài)檢測木馬的隔離環(huán)境，可以保護(hù)真實(shí)主機(jī)不受破壞且具備與真機(jī)運(yùn)行一樣的效果。
　　本文主要針對Windows下的PE文件，分析了當(dāng)前木馬檢測技術(shù)的不足并進(jìn)行了總結(jié)。重點(diǎn)研究木馬行為特征分析技術(shù)及擴(kuò)展攻擊樹模型在木馬檢測中的應(yīng)用。提出了一種改進(jìn)的基于擴(kuò)展攻擊樹模型

4、的木馬檢測方法，通過分析對比靜態(tài)分析PE文件及基于沙箱的行為監(jiān)控技術(shù)的特點(diǎn)，采用靜態(tài)檢測和基于沙箱的動態(tài)檢測相結(jié)合的方法，實(shí)現(xiàn)了對木馬更高效、完整地的檢測。
　　本文的主要創(chuàng)新包括如下:
　　(1)基于行為特征分析技術(shù)，將擴(kuò)展攻擊樹模型引入到木馬檢測中，通過擴(kuò)展節(jié)點(diǎn)屬性信息對模型進(jìn)行擴(kuò)展，實(shí)現(xiàn)了更精確的匹配模型。
　　(2)提出了一種改進(jìn)的基于擴(kuò)展攻擊樹模型的木馬檢測方法，改進(jìn)了危險(xiǎn)指數(shù)算法及模型匹配算法。采用基于木馬