计算机硕士开题报告剖析.docx

1、计算机硕士开题报告剖析硕士研究生学位论文开题报告题 目： 基于模糊不确定性推理的木马检测技术 院系名称： 信息科学与工程学院 指导教师： 秦 杰 学生姓名： 赵 巍 学 号： Z20129250 2013年10月1日基于模糊不确定性推理的木马检测技术1、研究背景和意义随着计算机网络技术的飞速发展，信息网络已经成为社会发展的重要保证,网络信息中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种黑客的攻击。据2013年8月CNCERT互联网安全威胁报告数据统计，境内被木马篡改网站数量为7495个，其中被篡改政府网站数量为628个；境内被木马植入后门的网站数量为13003个，其中政府

2、网站有432个；针对境内网站的仿冒页面数量为2495个1，这都给我们国家网络信息产业造成了严重的经济损失。2011年全国政府网站中，有25个政府网站由于存在比较严重的安全漏洞，存在较高的网页挂马风险，占被抽查网站总数的0.35%2。2012年度瑞星公司公布的2012年第一季度挂马网站安全威胁报告表明，互联网上出现的挂马网页累计达一亿九千多万个，平均每天有589万余人访问这些网页，累计有8亿人遭木马攻击3。大型网站、浏览器和流行软件成为黑客窥测的对象，一季度有24202个大型网站被植入木马，这已经成为威胁国内互联网安全的最主要因素之一。客观上来看，网络攻击有着不确定性：（1）攻击行为本身存在随机

3、性、模糊性以及人们对攻击行为的认识是不精确的、不完全的，具有一定的不确定性。（2）大量未解决的重要问题往往需要运用专家的经验，经验性的知识在获取与转换工程中都有某种不确定性3。目前木马检测系统的攻击知识库主要是根据已知攻击方法和已知安全漏洞和网络安全策略的特征，采用确定性知识表达方式建立的，这种方式由于把网络攻击具有的客观不确定性采用确定的方式来处理，往往会舍弃网络攻击的某些重要的模糊特征，使检测过程产生失真2。因此传统的基于特征码的检测技术难免对未知攻击方式存在虚警和漏警，虽然对已知攻击具有很高的正确率，但却不能检测未知的木马攻击。由于网络攻击大多数是利用系统漏洞实施的3，即编写相应的攻击程

4、序，达到攻击目的，针对一个漏洞进行的攻击源代码常常在网上共享。大多数新的木马源代码都是在原始代码的基础上进行改进的版本，或者平台移植后的版本，传统的基于特征码的木马检测技术必然很难对未知木马攻击作出有效的判断和检测，为克服传统的木马检测技术存在的缺陷，研究人员开始从网络攻击的模糊不确定性方面来考虑应对木马的检测方法4，常见的检测方式有：基于模糊Petri网的攻击知识表示与推理技术；基于模糊神经网络的学习推理技术；滥用监测不确定性知识表达与推理技术5。这些技术都是根据目标系统中收集的日志信息，从中提取模糊证据，根据知识库中事先定义的模糊知识模型，判断该程序是否具有某种攻击的可能性6。本文提出了一

5、种基于模糊不确定性推理的木马检测技术，用于对已知木马和未知木马的检测和判断。2、国内外目前研究现状1980年JamesP.Anderson在给一个保密客户写的一份题为计算机安全威胁监控与监视的技术报告中指出，审计记录可以用于识别计算机误用，他对威胁进行了分类，第一次详细阐述了入侵检测的概念4；1984年SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型-IDES，是第一个在一个应用中运用了统计和基于规则两种技术的系统，是木马检测研究中最有影响的一个系统之一5；1984年戴维斯分校的ToddHeberlein第一次直接将网络数据流作为检测数据来源，因而可以在不将

6、监控数据转换成统一格式的情况下监控不同类别主机，网络木马检测技术从此诞生6。木马一词源自于古希腊著名的特洛伊战争2。现代计算机中对于木马的定义是：木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。伴随着木马防御技术的不断发展，国内木马检测技术也加快了研究步伐7。近年来，国内外学者开始研究新的木马检测技术，并且提出了许多检测的新方法，国内学者开始从行为角度考虑应对方法，即根据程序的行为特征(如修改注册表、注册系统服务、修改系统文

7、件等)判断其是否可疑，这种方法也称行为分析。McAfee 公司在其一份白皮书中指出行为分析将成为基于特征码查杀方法的强有力的补充7。 2005年，国防科技大学朱国强等人提出了基于程序行为分析的木马检测技术研究，2008年北京交通大学李江涛等人提出了基于行为的病毒检测系统的设计与实现等。上述几类检测方法在木马检测上取得了一定程度上的效果。虽然现有基于行为的木马检测技术得到了一定的推广，但是该技术还处于初步阶段，对很多模糊不确定攻击方式很难做出有效的判断，基于行为分析系统的应用面临着误报率过高的问题。木马分类器的设计经历了从经典分类方法到逐步优化的发展过程。目前国内外分类器设计主要有以下几种：（1

8、） 决策树归纳分类技术（2） 基于规则的分类器（3） 最近邻分类器（4） 贝叶斯分类器（5） 人工神经网络分类技术（6） 支持向量机分类技术（7） 组合方法分类技术（也称作分类器组合）（8） 不平衡类问题的分类技术，等等。目前各类分类器根据自身的特征分别应用于不同的领域，而且在经典的算法的基础上，根据不同的应用分别进行了各自的改进算法。如王喆的面向模式表示与模式源的分类器设计方法研究。3、研究目标与内容3.1 研究目标本次课题围绕模糊行为木马检测器的设计与研究，目的在于：1、根据目标系统中收集的木马信息，从中提取模糊证据，根据知识库中事先定义的模糊知识模型，判断该未知程序是否为木马程序。2、客

9、观上来看，网络攻击有着不确定性，木马攻击更是如此，因此本文提出了一种基于模糊不确定性推理的木马检测技术，用于对已知木马和未知木马的检测和判断。3.2 研究内容针对以上研究目标，本课题的研究内容主要包括1、传统木马与新型木马的攻击模式及其行为特征的研究传统型木马采用C/S 的通信模式，一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）8。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚

10、至可以利用这些打开的端口进入电脑系统，当计算机装了防火墙后，防火墙通过监测、限制、修改跨越防火墙的数据流，可以对外屏蔽网络内部的结构、信息和运行情况，因此防火墙技术能够检测和识别绝大多数传统木马的数据连接通讯，从而对其进行拦截，因此，传统木马威胁逐渐减小。常见的木马行为有：修改注册表的自启动项、关联项及其他一些具有自启动功能的项；修改系统文件，如wini.ini， system.ini等；捆绑自启动文件；拷贝Autorun.inf文件；拷贝文件到系统目录；拷贝文件给自启动项；新增、删除文件等行为；打开、关闭端口；创建进程，远程线程注入，隐藏进程，关闭安全软件，记录键盘操作、屏幕截取操作等9。由

11、于特洛伊木马程序不能自动启动10， 一个特洛伊木马程序往往是包含或者安装在一个恶意的程序中，它可能看起来是有用或者有趣的计划（或者至少无害），对其不怀疑的用户常常运行这些程序，造成用户在不知情的情况下运行了木马程序。特洛伊木马运行时，信息或文档才被破坏和遗失。特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。 新型木马在此传统木马的基础上采用了新的技术，如反向连接技术（端口反弹）、进程隐藏技术、拦截API法、进程注入技术、端口复用技术、无端口技术、远程线程注入技术等11。这些技术的出现使得木马不仅能够穿透防火墙，而且还可通过HTTP、SOC

12、KS4/5 代理，甚至还能访问局域网内部的设有公共IP 的电脑，像用NAT 透明代理和HTTP 的GET 型代理等的局域网，还可使木马通过拨号上网，由于普通的防火墙技术无法阻止这类木马与外界的联系，因此这类新型木马及其变种给连入网络的计算机带来的危害更大12。2、木马攻击的模糊不确定性特征的可行性分析客观上来看，网络攻击有着不确定性，目前传统木马检测系统的攻击知识库主要是根据已知攻击方法和已知安全漏洞和网络安全策略的特征，采用确定性知识表达方式建立的，这种方式由于把网络攻击具有的客观不确定性采用确定的方式来处理，往往会舍弃网络攻击的某型重要的模糊特征，使检测过程产生失真13。因此传统的基于特征

13、码的检测技术难免对未知攻击方式存在虚警和漏警，虽然对已知攻击具有很高的真确率，但却不能检测未知的木马攻击。3、木马检测模型的设计该系统的模型如图1所示。该系统主要包含模糊事件分析模块，模糊推理模块，攻击知识获取模块，模糊警报模块。其中数据采集模块是对目标系统中程序有攻击可能的对象进行实时数据监控、记录并将结果交给行为模糊推理模块进行处理；知识获取模块是用来记录木马行为特征的，在模糊推理阶段判断正在运行的程序是否是木马程序；模糊警报模块是对模糊推理所做的判断给予相应的处理。图1 系统模型3.3 本课题的关键技术本课题关键技术在于：1、搭建合适的模糊攻击知识库，收集木马攻击的相关模糊证据，经过模糊

14、知识推理，判断该程序是否为木马，实现对未知程序检测目的。2、根据模糊事件分析模块得出木马攻击的模糊证据，系统通过与用户接口和解释器的交互，做出模糊推理，最终发出模糊警报，触发系统响应。3、木马检测器的设计主要依赖于模糊数据库所收集到的木马行为，根据这些特征数据和木马模糊攻击行为，进行分析和推理，最终确定未知程序是否为木马程序。4、研究方案和实验方法4.1研究方案1、模糊攻击知识库的搭建。模糊攻击知识库的搭建关键问题就是行为特征数据库的建立，行为特征数据库主要集合了木马各种行为的特征抽象，要完整的描述各种木马行为，并且方便程序设计者调用分析，在本策略中所建立的行为特征库由一组特征向量，其中代表一

15、个表示一个行为的特征向量14。对于每个行为的特征向量可以描述为如下几个部分15：1 为特征抽象描述：以修改注册表自启动项为例，我们可以描述为“=修改注册表自启动项”。2 用函数：由于木马上述行为在木马程序上一般表现为不同的API函数的调用，所以在对木马行为进行抽象描述时可描述为： =行为对应的API名称（即函数名称）。同样以修改注册表自启动项为例，因为木马在程序在进行修改注册表时要调用RegCreateKey函数，所以，可以把该行为调用API描述为相应的函数“RegCreateKey”。3 模糊行为分析器分析行为。2、模糊行为分析模块的设计该模块对行为对象监控模块传来的数据进行分析，具体实现如

16、下：首先对从行为对象监控模块传来的数据结合行为特征数据库中的对应行为的权值，计算各可疑行为的加权值之和，然后用这个加权值之和跟事先预定的阀值进行比较，如果权值之和大于阀值，那么未知程序就有很大可能是木马程序16。本策略根据各个可疑指标的可疑程度为每一个行为制定权值，并且把某个程序在此次运行中表现的不同行为的权值进行相加，将得到的值与事先规定的阀值进行比较，如果权值之和比临界值大，就确定此程序为木马程序17。具体的计算公式如下：其中为自重权数，表示每个行为特征的权值，并且满足，规定，的取值体现了相应行为特征在木马各行为特征中的重要程度。代表某个程序在此次运行中表现的可疑行为的个数；为此次运行的程

17、序为木马程序的可疑程度值19。加权系数的确定原则是使预测误差的均方值最小，在这里利用过去个取样值来进行预测，也可以称为阶线性预测20。设的预测值用表示，则有式子中，为正整数；表示加权系数，称为预测系数。预测误差为： 预测误差可以按均方规则确定： 设的预测值用表示，则有式子中，为正整数；表示加权系数，称为预测系数。预测误差为： 预测误差可以按均方规则确定： 3、模糊行为行为响应模块的实现对模糊行为模块结果的分析，系统就可以做出以下响应：如果确定此行为是木马行为时就直接调用查杀模块进行删除；如果不能确定是木马行为时，就弹出警告窗口，询问用户是否允许、禁止或删除此程序；如果判断是正常行为，系统就允许

18、此程序继续运行。4.2实验方法具体试验方法如下：1、拟采用JADE(Java Agent Development Environment)这种遵循FIPA 规范的代理开发环境。2、建立合理的模糊行为分析体系。3、实验数据拟采用美国国防高级计划研究署的木马检测测试数据集DARPA来进行测试。DARPA 1999年评测数据包括了Probe，DoS，R2L，U2R和Data等五大类五十八种典型攻击方式，是目前最为全面的攻击测试数据集。5、实验条件与进度安排 2012年9月2013年6月 进行基础理论学习，收集、阅读、整理相关论文和笔记资料，分析资料，总结相关内容； 2013年9月2014年1月 进行

19、课题实际研究；综合自己整理的相关材料，进行进一步的研究工作；基本得出理论结果； 2014年3月2014年5月 根据理论结果，进行模拟器实现；在模拟器上进行仿真.得出试验结果,进行性能分析;撰写研究报告总结，毕业论文。6、参考文献1CNCERT互联网安全威胁报告,2013年8月总第32期。22011年全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告。3 美Timothy J.Ross著，模糊逻辑及其工程应用.钱同惠，葛晓斌等译。4胡振昌. 网络入侵检测原理与技术. 北京理工大学出版社200611陈雷霆, 张亮. 人工免疫机制在木马检测系统中的应用研究. 电子科技大学学报, 第34卷第2

20、期2005年4月.12单长虹, 张焕国, 孟庆树, 彭国军. 一种启发式木马查杀模型的设计与分析J. 计算机工程与应用, 2004年20期:130-132.13张仁斌, 李钢, 侯整风. 计算机病毒与反病毒技术M. 北京:清华大学出版社, 200614 贾文丽, 薛强, 孙济洲. 分布式端口反弹攻击及检测. 计算机工程2004年4月第30卷第7期.15金山：2012年中国互联网安全报告9 商海波，蔡家棚，胡永涛 一种基于行为分析的反木马策略 计算机工程2006年5月第32卷第9期3S Forrest, Alan S.Perelson, and L.Allen.Self-nonself disc

21、rimination in a computerC. Proceedings of the 1994 IEEE Synposium on Research in Security and Privary, Los Alamitos, CA:I EEE Computer Society Press, 1994.4 A. Hofmeyr. An Immunological Model of Distributed Detection and its Application to Computer Security. Ph. D Dissertation, Albuquerque USA, The

22、University of New Mexico, 1999.5 A Hofmeyr,S Forrest. Immunity by design: an artificial immune systemA. Proceeding of Genetic and Evolutionary Computation ConferenceC.San Francisco Morgan Kaufmann Publishers, 1999.6 J Kim, P Bentley. Negative selection within an artificial immune system for network

23、intrusion detectionA. Proceedings of Genetic and Evolutionary Computation ConferenceC. San Francisco:Morgan Kaufmann Pubtishers, 1999.7 J.Kim,P.Bentley. The human immune system and network intrusion detectionA. Proceeding of 7th European Congress onIntelligent Techniques Soft ComputingC. Aachen:Spri

24、nger Press, 1998.8 J.Kim, J.B.Peter. Towards an artificial immune system for network intrusion detection:an investigation of dynamic clone selection. Proceeding of World Congress on Computation Intelligence.Piscataway:IEEE Press, 2002.10McAfee. Best Behavior-making Effective User of Behavioral Analy

25、sisM.Network Associates,200216LYMAN J In search of the worlds costliest computer virus 2008 HUGHES L.DELONE G Viruses,worms,and Trbjan horses:Serious crimes,nuisance,or both 2007(1)17尹清波，张汝波，李雪耀等.基于线性预测与马尔可夫模型的木马检测技术研究J.计算机学报，2005，28(5)18HUGHES L.DELONE G Viruses,worms,and Trbjan horses:Serious crim

26、es,nuisance,or both 2007(1).19陈友，沈华伟等一种高效的面向轻量级木马检测系统的特征选择算法J计算机学报，200720顾雨捷.用于行为分析的反木马的模糊分类算法研究D.学位论文.2008.21Lee W, Dong X. Information-Theoretic measures for anomaly detection. In: Needham R, Abadi M, eds. Proceedings of the 2001 IEEE Symposium on Security and Privacy. Oakland, CA: IEEE Computer S

27、ociety Press, 2001. 130-14322Xiao Liang, YiChao Li, Jia Cui, Strathy Trojan Horse Detection Method Based on System Call Hook, Computer Engineering,2007,33(10),181-183.23N. Idika, A.Mathur. A Survey of Malware Detection Techniques. Software Engineering Research Center. 3-1-07, SERC-TR286, 200724Garry

28、 Nebbet,Windows NT/2000 native API reference,MacMILLAN Technical Publishing,2000,625M. D, Preda, M. Christodorescu, S. Jha et al. A Semantics-Based Approach to Malware Detection J. POPL07 January 17-19, 2007, Nice, France. 26P. Szor. The Art of Computer Virus Research and Defense M. Addison Wesley P

29、rofessional, Isbn 0-321-30454-3, February 2005, Chapter 11.27AhsanK Kundur D，Practical data hiding in TCPIP，Proc Workshop on MultimediaSecurity aACM MultimediaFrench Riviera,200228Eggers KW，Mallett P W，Characterizing network covert storage channels，AerospaceComputer Security Applications Conference，

30、Orlando，甩USA,198829PKeleher，S，Bhattacharjee，BSilaghi，Are Virtualized Overlay Networks TooMuch of aGood Thing,In First International Workshop on PeertoPeer Systems(IFrPS02)March,200230胡勇，网络嗅探器及安全对策，现代电子技术，1999，(4)：5-631Stevens WR，TCPIP详解卷一：协议，北京：机械工业出版社，2000：40-4632Andy Oram，“Peer to Peer：Harnessing

31、the PowerofDisruptive Technologies”，OREILLY，2003833张彤，信息隐藏与阈下信道技术研究，西安电子科技大学，200934shotgun，揭开木马的神秘面纱，现代电子技术， 201035大皮球，透视木马程序开发技术，北京：机械工业出版社，200836SMBellovin，Security Problems in the TCPIP Protocol Suite，ACM Computer CommRev,1989，19(2)：32-4837网页挂马工作原理完全分析. 38Lorine A. Hughes，Gregory J. DeLone.Viruses, Worms, and Trojan Horses: Serious Crimes, Nuisance, or Both? Social Science Computer Review Spring 2007，25: 78-9839Fang H