返回
木马攻击与防范技术研究

木马攻击与防范技术研究

ID:44621565

大小:124.08 KB

页数:4页

时间:2019-10-24

木马攻击与防范技术研究_第1页
木马攻击与防范技术研究_第2页
木马攻击与防范技术研究_第3页
木马攻击与防范技术研究_第4页
资源描述:

《木马攻击与防范技术研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、木马攻击与防范技术研究摘要]分析了木马现有的防范技术的不足之处,在对现有的防范技术缺陷分析的基础上,结合木马静态特征和木马动态行为特征,捉出了一种动静结合的木马检测防范休系。[关键词]木马攻击;木马防范;网络安全由于现在应用软件的漏洞很多,木马对计算机的入侵变得越来越容易和普遍。同时木马程序的隐藏技术不断变动和提高,忖前的检测手段对木马程序的检测也变得更加困难[1]。针对木马程序技术的更新,研究一种能够有效的检测和防范木马程序的技术显得非常迫切和必要。为此,笔者结合木马静态特征和木马动态行为特征,构建了一个新的木马防范检测体系。1木马防范技术的现状冃前防范木马的手段主要是依靠杀毒软件和网络

2、防火墙所附加的检查功能。杀毒软件主要依靠对木马文件本身的特征以及木马对系统进行修改的行为特征来识别木马,而防火墙软件主要通过对网络通信的控制实现对木马通信的封锁[2]。木马与病毒的工作原理不同,实现技术也不同,因此,防御的方法也不一样。杀毒软件是病毒的克星,对木马却不一定有效。一些高级的木马大都是单独使用,其曝光的几率小,这些木马即使长时间使用也不会被发现,对这样的木马,杀毒软件无能为力。特别是,随着反弹端口木马和注入式木马的出现,防火墙软件也难以阻止木马的入侵[3]。图1木马检测与防范系统框架2动静结合的木马检测防范体系木马隐蔽技术的发展使得木马植入冃标系统后在冃标系统屮越来越隐蔽。传统

3、的基于静态特征的木马检测技术,不仅面对已知木马的各种隐蔽和变化,检测能力不足,而冃对于未知的木马更是无能为力、有根本性的缺陷。借鉴基于静态特征的木马检测技术的缺陷、在对木马各种隐蔽行为进行深入分析的基础上,研究了基于动态行为的木马检测防范方法,最后提出结合木马静态特征和木马动态行为特征相结合的检测防范思想,并构建起基本框架,如图K1)动静结合的木马检测防范的基木方法①根据系统的服务和应用需求及面临的安全威胁,编辑扫描监控策略和行为分析策略,制定木马植入、隐蔽和恶意操作所需资源的控制(木马植入运行的资源控制)内容。②根据对己知木马静态策略编辑策略编辑图1木马检测与防范系统框架行为分析策略扫描

4、监控策略木马杀除行为阻止木马植入运行的资源控制特征利木马动态行为的分析,建立木马的静态特征和动态行为特征库(简称木马动静态特征库)。③依据扫描监控策略的要求和木马动静态特征库的特征分别进行注册表扫描监控、文件目录扫描监控、端口进程关联扫描、可疑调用监控分析以及网络通信过滤等。④发现木马动静态特征库中已有的特征时提交给木马杀除行为阻止模块把木马杀除。⑤把可疑行为情况提交给可疑行为分析模块,可疑行为分析模块根据行为分析策略进行分析判断。如判定可疑行为是木马行为,把木马行为提交给木马杀除行为阻止模块,或先报警用户后由用户进行确定及处理。⑥木马杀除行为阻止模块除阻止或删除木马外,述要捕获木马的行为

5、特征,补充或修正动静态特征库的相关条冃,使木马动静态特征库进一步完善。2)木马易静态特征库动静态特征库屮定义已知木马打开的同定的通信端口,定义已知木马的加载启动方式,已知木马文件中含有的特征字符串,已知木马的一些文件属性,木马的一些恶意操作行为等。3)扫描监控策略(1)注册表担描监控策略部分定义。①注册表屮能够被木马用于启动的启动项、关联项及其它一些具有启动功能的特殊项[4]。②注册表中能被木马用于运行形式隐蔽和自身文件隐蔽的特殊项。③注册表中这些项中的一些常见的合法内容。(2)系统文件目录扫描监控策略部分定义。①保护的系统文件和文件目录。②系统中常见的系统文件。(3)端口进程关联扫描策略

6、部分定义。①系统服务和应用程序常用端口及相应的服务和程序。②系统屮常见系统进程、系统的常用服务进程。(4)可疑调用监控分析策略部分泄义。木马常用来进行隐蔽操作和恶意操作的函数调用。4)注册表扫描监控注册表扫描监控模块,对注册表进行•木马隐藏启动扫描,通过已知木马的注册表启动方式检测系统屮已有的木马;对注册表操作的监控和保护,通过监控木马的常用启动和提升权限的操作行为检测木马。5)文件目录扫描监控文件和目录扫描监控模块有3个功能:①文件完整性检测;②系统文件和目录的操作监控和保护;③利用已知木马文件的特征字符串扫描木马。6)端口进程关联打描通过端口进程关联打描,根据策略中定义的系统正常端口和

7、进程信息,检测系可疑端口和运行的可疑进程;端口进程关联发现端口寄生行为,检测木马。7)可疑调用监控分析程序调用监控策略眾义了木马进行隐蔽和其它一些恶意操作时常用的Win32API函数。通过Hook函数监控这些木马常用的Win32API调用。把进行调用的程序和调用的函数信息作为进一步判定是木马程序的依据报告给行为分析模块。8)网络通信过滤分析通过过滤网络通信,破坏木马的通信行为,使木马无法通知控制端,使控制端不能对木马进行

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。