论文部分内容阅读
近年来,随着网络的迅猛发展,互联网在人们的生活中地位越来越重要,但针对网络用户的各种攻击也层出不穷,造成的损失和影响的范围也越来越大,网络安全问题越来越受到人们的重视。木马是进行网络攻击的重要武器,木马技术的研究始终是网络安全领域的重点和热点。从防范的角度来讲,掌握木马技术的原理和发展趋势,可以最大程度避免被各类木马感染,从而提高网络的整体安全性;从攻击的角度来讲,木马是网络攻击的有力武器,只要利用得当,就能使我国在未来信息战中处于优势地位,为国家和社会造福。
木马的攻击和防御是一个整体,它们在对抗中此消彼长,互相推进,技术上都已经到了非常深入系统底层的地步。在与反木马技术的对抗中,木马的功能越来越强大,结构越来越复杂,技术越来越深入。但是在常见的杀毒软件和防火墙等反木马软件面前,木马的生存空间越来越小,生命周期也越来越短。这些主要是由于现在主流木马普遍存在适应能力不强和扩展性差两个缺陷。木马要想获得较强的生存能力,除了在技术上要不断深入外,更需要体系结构的智能化。
本文在对现有木马技术研究的基础上,针对当前木马普遍存在的问题,提出了一种新型的功能原子化的自适应木马模型(SATHM),给出了详细工作机制和实现方案,解决了木马原子选择和组合等关键问题的相应算法,并根据该模型实现了一个自适应木马原型系统,系统测试结果表明,该木马模型能够方便的和最先进的木马技术相融合,有很强的通用性、扩展性和稳定性,有效提高了木马对反木马软件的免疫性能,延长了木马的生存周期。
本文的具体研究工作包括:
(1)从木马体系结构、木马隐藏、Rootkit技术等几个方面对当前木马技术的研究现状进行了归纳和总结,重点对有关木马深度隐藏的关键技术进行了较为详细的分析,指出了当前木马缺乏智能性和自适应性的不足。
(2)在研究当前木马结构的基础上,提出一个新型的自适应木马框架模型SATHM,该模型具有功能原子化、目标个性化和系统智能化的特点,主要分为五个模块:服务器、被控端、训练端、控制端和代理端;分析了SATHM各个模块的工作原理、运行机制和设计方案;研究了该模型中涉及到的木马原子选择与组合算法。
(3)针对SATHM的研究给出了一个自适应木马系统实现,重点研究了系统实现中通信模型、数据组织和木马原子设计的若干关键技术和技巧,并在实现中对代理端的IDA文件传输算法进行了改进。
(4)从功能性、自适应性、对抗性和生存性等几个方面对实现的木马系统进行了详细的测试和分析,测试结果表明该木马系统有一定的通用性,适应能力和扩展能力都超过了现有木马。