木马攻击检测技术的研究结题报告

青岛农业大学大学生科技创新立项结题报告书项目名称：木马攻击检测技术的研究项目主持人：王学晗专业年级：计算机科学与技术2013级指导教师：苏万力填表日期：2015年12月1一、简表项目名称木马攻击检测技术的研究起止时间2014年12月至2015年12月指导教师姓名苏万力出生年月1963.07学历博士学位博士学院理学与信息科学学院专业计算机科学与技术专业研究方向网络与信息安全项目负责人姓名王学晗出生年月1994.10学院理学与信息科学学院专业班级计算机科学与技术2013级01班承担任务团队的组织，件需求的分析签名项目组成员姓名专业班级承担任务签名刘琦计算机科学与技术2013级01班代码的编写、程序的设计刘元春计算机科学与技术2013级01班木马检测技术的研究王晓敏计算机科学与技术2013级01班程序的设计、代码编写高霁月计算机科学与技术2013级01班程序的实现、测试2摘要：（300汉字）常见木马的代码都是固定的，只要由控制端发送到客户端，那么木马程序就是固定的代码，这样的木马终究能够被各类杀毒软件所查杀。但是自适应性木马的代码确实在不断调整与更新的，使得杀毒软件无法发挥作用,甚至将杀毒软件的运行机制记录下来发送回控制端，控制端设计出克制杀毒软件的代码，将会使得计算机丧失任何防御措施，直至崩溃。人们对病毒传播的风险意识和规避行为随着人群中感染密度等因素的变化而作自适应的调整。针对人群中不断变化的风险意识和规避行为，提出在SIS网络传播模型中，研究自适应网络的动态传播过程。关键词：自适应性；病毒；SIS网络传播；元胞自动机；二、报告正文3（一）项目基本情况（计划主要研究内容及预期成果）(一).项目研究内容1）研究自适应性木马病毒的运行机制。常见木马的代码都是固定的，只要由控制端发送到客户端，那么木马程序就是固定的代码，这样的木马终究能够被各类杀毒软件所查杀。但是自适应性木马的代码确实在不断调整与更新的，使得杀毒软件无法发挥作用，甚至将杀毒软件的运行机制记录下来发送回控制端，控制端设计出克制杀毒软件的代码，将会使得计算机丧失任何防御措施，直至崩溃。一般的查毒软件只能做到检测木马传输的端口位置，并挡住病毒数据包的传输，但是自适应性木马是通过原子模块传输的，所以无法做出有效阻拦。统计行为判定技术可以在检索到传输端口后，暂时关闭该端口，并在完成原子模块查杀之后重新打开该端口。可以切断控制端与服务器的链接关系，以确保原子模块被彻底查杀。利用木马的特有行为特征来监测木马，自适应性木马的功能原子性，是指将木马程序的各个功能分成原子模块单独制作，或根据某功能设计几种不同的原子模块，通过不同原子模块的不同组合方式，构成不同功能与不同特征代码的程序，从而实现整个木马系统的自我调节和更新，使得任何杀毒软件对自适应性木马都无法有效查杀。2）研究自适应性木马病毒检测方法目前对木马病毒一般检测为:a)、查看开放端口当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的，这样我们就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。b)、查看win.ini和system.ini系统配置文件。查看win.ini和system.ini文件是否有被修改的地方。c)、查看启动程序如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始-程序-启动”处。d)、查看系统进程木马也是一个应用程序，需要进程来执行。可以通过查看系统进程来推断木马是否存在：按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程。e)、查看注册表木马一旦被加载，一般都会对注册表进行修改。一般情况下木马在注册表中实现加载文件一般是在固定几处。然而自适应性木马的功能原子化特点使得程序代码不唯一，上述的检测方法基本不起作用,只要其各个原子模块重新组合，构成了新的木马程序，查杀就变得毫无意义。然而，统计4行为检测技术，首先对被感染的文件与原文件进行比较，可以检测出被感染文件中新出现的代码，这些新代码可以初步确定为自适应性木马的原子模块组成部分，通过大量被感染文件的统计，高频出现的代码可判定为自适应性木马的原子模块，随之可以全盘检索含有相同代码的文件，可确定为该文件已被木马感染，并可以对该文件的删除或者隔离。（二）预期成果最终将完成一个可用代码，其中包括：研究对自适应性木马传播方式。自适应性病毒的查找与删除。5（二）项目完成情况本项目的完成情况如下：1.完成了自适应性病毒传播方式的研究网络传播中，网络拓扑结构和网络动力学的相互作用形成自适应网络。在自适应网络中，自适应网络病毒传播模型为SIS平均场模型。2.总结出风险规避行为可以有效减缓病毒传播速度及传染规模图1.未进行风险规避时自适应病毒的传播图6图2，风险规避后自适应病毒的传播图通过风险规避，有效的减缓了自适应病毒的传播速度，这为查杀病毒争取了重要的时间。总结出SIS模型大致符合（2t+1）²的传播规律。3.自适应病毒是有基于元胞自动机的适应网络病毒传播模型机是指不需要人们逐步进行操作或知道，能自行完成的设备。机模型采用二维网格，SIS平均场模型。SIS模型是传染病模型，S为健康，I为感染。其满足（2t+1）²，t为时间。当感染单位为1，其周围8个单位都会有可能被感染。若8个单位都被感染，感染总数为9，则其周围19个单位也会被感染。则自适应病毒以此按照（2t+1）²的感染速度不断感染周围单位。7图3.自适应病毒按照（2t+1）²的速度增加8（三）获得的主要成果（发表的论文、专利、软件著作权、动植物新品种权或审定、获奖情况、推广应用产生的效益、成果报道等；复印件附在结题报告书后面。）1.本项目完成了对自适应性木马本身传播方式的研究。2.并将本项目作为毕业论文备选课题之一来继续研究。（四）存在的问题、建议及其他需要说明的情况（包括项目研究工作中的难点和经验，本项目研究是否达到预期目标，如未达到，请分析原因和可能的解决途径。今后进一步研究的建议和设想。）未完成最后的对自适应性病毒查杀代码的编写，其难点在于自适应性病毒没有固定的类型，难以进行查杀，任何符合自适应性病毒传播方式的病毒均可在广义上称为自适应性病毒。且对自适应性病毒的运行方式研究不到位，对最新的资料研读不够，只能理解部分内容。增大了任务的难度。我们想到的解决方式为继续研究，对比任务的复杂度，研究时间相对较短，项目有待进一步去做。9三、经费使用情况序号项目内容预算（元）支出（元）1材料费购买图书资料5002测试化验加工费上级测试，采购软件4003差旅费调查10004打印复印版面费复印抄录费，文章版面费6005其他备用50067合计3000四、指导教师意见指导教师签字：年月日10五、验收意见专家组组长签名：年月日六、学院审核意见院长签字：学院（盖章）年月日七、教务处审核意见处长签字：教务处（盖章）年月日注：1.表格不够可另附纸。2.已发表论文或拟发表论文、各种成果证书要附在结题报告书后面。