資源描述:
《木馬攻擊與防范技術(shù)研究》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫���。
1��、木馬攻擊與防范技術(shù)研究摘要]分析了木馬現(xiàn)有的防范技術(shù)的不足之處����,在對現(xiàn)有的防范技術(shù)缺陷分析的基礎(chǔ)上,結(jié)合木馬靜態(tài)特征和木馬動態(tài)行為特征����,捉出了一種動靜結(jié)合的木馬檢測防范休系。[關(guān)鍵詞]木馬攻擊;木馬防范��;網(wǎng)絡(luò)安全由于現(xiàn)在應(yīng)用軟件的漏洞很多��,木馬對計算機的入侵變得越來越容易和普遍��。同時木馬程序的隱藏技術(shù)不斷變動和提高��,忖前的檢測手段對木馬程序的檢測也變得更加困難[1]��。針對木馬程序技術(shù)的更新���,研究一種能夠有效的檢測和防范木馬程序的技術(shù)顯得非常迫切和必要��。為此,筆者結(jié)合木馬靜態(tài)特征和木馬動態(tài)行為特征���,構(gòu)建了一個新的木馬防范檢測體系�。1木馬防范技術(shù)的現(xiàn)狀冃前防范木馬的手段主要是依靠殺毒軟件和網(wǎng)絡(luò)
2��、防火墻所附加的檢查功能���。殺毒軟件主要依靠對木馬文件本身的特征以及木馬對系統(tǒng)進行修改的行為特征來識別木馬���,而防火墻軟件主要通過對網(wǎng)絡(luò)通信的控制實現(xiàn)對木馬通信的封鎖[2]。木馬與病毒的工作原理不同����,實現(xiàn)技術(shù)也不同,因此���,防御的方法也不一樣。殺毒軟件是病毒的克星�����,對木馬卻不一定有效��。一些高級的木馬大都是單獨使用�����,其曝光的幾率小,這些木馬即使長時間使用也不會被發(fā)現(xiàn)��,對這樣的木馬�����,殺毒軟件無能為力�。特別是,隨著反彈端口木馬和注入式木馬的出現(xiàn),防火墻軟件也難以阻止木馬的入侵[3]���。圖1木馬檢測與防范系統(tǒng)框架2動靜結(jié)合的木馬檢測防范體系木馬隱蔽技術(shù)的發(fā)展使得木馬植入冃標系統(tǒng)后在冃標系統(tǒng)屮越來越隱蔽����。傳統(tǒng)
3����、的基于靜態(tài)特征的木馬檢測技術(shù),不僅面對已知木馬的各種隱蔽和變化,檢測能力不足���,而冃對于未知的木馬更是無能為力�、有根本性的缺陷����。借鑒基于靜態(tài)特征的木馬檢測技術(shù)的缺陷��、在對木馬各種隱蔽行為進行深入分析的基礎(chǔ)上�,研究了基于動態(tài)行為的木馬檢測防范方法�����,最后提出結(jié)合木馬靜態(tài)特征和木馬動態(tài)行為特征相結(jié)合的檢測防范思想��,并構(gòu)建起基本框架�����,如圖K1)動靜結(jié)合的木馬檢測防范的基木方法①根據(jù)系統(tǒng)的服務(wù)和應(yīng)用需求及面臨的安全威脅,編輯掃描監(jiān)控策略和行為分析策略��,制定木馬植入�、隱蔽和惡意操作所需資源的控制(木馬植入運行的資源控制)內(nèi)容。②根據(jù)對己知木馬靜態(tài)策略編輯策略編輯圖1木馬檢測與防范系統(tǒng)框架行為分析策略掃描
4���、監(jiān)控策略木馬殺除行為阻止木馬植入運行的資源控制特征利木馬動態(tài)行為的分析,建立木馬的靜態(tài)特征和動態(tài)行為特征庫(簡稱木馬動靜態(tài)特征庫)����。③依據(jù)掃描監(jiān)控策略的要求和木馬動靜態(tài)特征庫的特征分別進行注冊表掃描監(jiān)控�����、文件目錄掃描監(jiān)控�、端口進程關(guān)聯(lián)掃描�����、可疑調(diào)用監(jiān)控分析以及網(wǎng)絡(luò)通信過濾等��。④發(fā)現(xiàn)木馬動靜態(tài)特征庫中已有的特征時提交給木馬殺除行為阻止模塊把木馬殺除�����。⑤把可疑行為情況提交給可疑行為分析模塊,可疑行為分析模塊根據(jù)行為分析策略進行分析判斷�。如判定可疑行為是木馬行為,把木馬行為提交給木馬殺除行為阻止模塊,或先報警用戶后由用戶進行確定及處理��。⑥木馬殺除行為阻止模塊除阻止或刪除木馬外��,述要捕獲木馬的行為
5�����、特征�����,補充或修正動靜態(tài)特征庫的相關(guān)條冃,使木馬動靜態(tài)特征庫進一步完善�����。2)木馬易靜態(tài)特征庫動靜態(tài)特征庫屮定義已知木馬打開的同定的通信端口�,定義已知木馬的加載啟動方式,已知木馬文件中含有的特征字符串�,已知木馬的一些文件屬性,木馬的一些惡意操作行為等。3)掃描監(jiān)控策略(1)注冊表擔描監(jiān)控策略部分定義��。①注冊表屮能夠被木馬用于啟動的啟動項�����、關(guān)聯(lián)項及其它一些具有啟動功能的特殊項[4]��。②注冊表中能被木馬用于運行形式隱蔽和自身文件隱蔽的特殊項�����。③注冊表中這些項中的一些常見的合法內(nèi)容����。(2)系統(tǒng)文件目錄掃描監(jiān)控策略部分定義。①保護的系統(tǒng)文件和文件目錄����。②系統(tǒng)中常見的系統(tǒng)文件。(3)端口進程關(guān)聯(lián)掃描策略
6����、部分定義。①系統(tǒng)服務(wù)和應(yīng)用程序常用端口及相應(yīng)的服務(wù)和程序�。②系統(tǒng)屮常見系統(tǒng)進程、系統(tǒng)的常用服務(wù)進程�����。(4)可疑調(diào)用監(jiān)控分析策略部分泄義��。木馬常用來進行隱蔽操作和惡意操作的函數(shù)調(diào)用����。4)注冊表掃描監(jiān)控注冊表掃描監(jiān)控模塊,對注冊表進行?木馬隱藏啟動掃描���,通過已知木馬的注冊表啟動方式檢測系統(tǒng)屮已有的木馬;對注冊表操作的監(jiān)控和保護�,通過監(jiān)控木馬的常用啟動和提升權(quán)限的操作行為檢測木馬。5)文件目錄掃描監(jiān)控文件和目錄掃描監(jiān)控模塊有3個功能:①文件完整性檢測;②系統(tǒng)文件和目錄的操作監(jiān)控和保護;③利用已知木馬文件的特征字符串掃描木馬��。6)端口進程關(guān)聯(lián)打描通過端口進程關(guān)聯(lián)打描����,根據(jù)策略中定義的系統(tǒng)正常端口和
7、進程信息����,檢測系可疑端口和運行的可疑進程;端口進程關(guān)聯(lián)發(fā)現(xiàn)端口寄生行為,檢測木馬����。7)可疑調(diào)用監(jiān)控分析程序調(diào)用監(jiān)控策略眾義了木馬進行隱蔽和其它一些惡意操作時常用的Win32API函數(shù)。通過Hook函數(shù)監(jiān)控這些木馬常用的Win32API調(diào)用���。把進行調(diào)用的程序和調(diào)用的函數(shù)信息作為進一步判定是木馬程序的依據(jù)報告給行為分析模塊���。8)網(wǎng)絡(luò)通信過濾分析通過過濾網(wǎng)絡(luò)通信,破壞木馬的通信行為�,使木馬無法通知控制端,使控制端不能對木馬進行
