计算机硕士开题报告

硕士研究生学位论文开题报告题目：基于模糊不确定性推理的木马检测技术院系名称：信息科学与工程学院指导教师：秦杰学生姓名：赵巍学号：Z201292502013年10月1日基于模糊不确定性推理的木马检测技术1、研究背景和意义随着计算机网络技术的飞速发展，信息网络已经成为社会发展的重要保证,网络信息中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种黑客的攻击。据2013年8月CNCERT互联网安全威胁报告数据统计，境内被木马篡改网站数量为7495个，其中被篡改政府网站数量为628个；境内被木马植入后门的网站数量为13003个，其中政府网站有432个；针对境内网站的仿冒页面数量为2495个[1]，这都给我们国家网络信息产业造成了严重的经济损失。2011年全国政府网站中，有25个政府网站由于存在比较严重的安全漏洞，存在较高的网页挂马风险，占被抽查网站总数的0.35%[2]。2012年度瑞星公司公布的《2012年第一季度挂马网站安全威胁报告》表明，互联网上出现的挂马网页累计达一亿九千多万个，平均每天有589万余人访问这些网页，累计有8亿人遭木马攻击[3]。大型网站、浏览器和流行软件成为黑客窥测的对象，一季度有24202个大型网站被植入木马，这已经成为威胁国内互联网安全的最主要因素之一。客观上来看，网络攻击有着不确定性：（1）攻击行为本身存在随机性、模糊性以及人们对攻击行为的认识是不精确的、不完全的，具有一定的不确定性。（2）大量未解决的重要问题往往需要运用专家的经验，经验性的知识在获取与转换工程中都有某种不确定性[3]。目前木马检测系统的攻击知识库主要是根据已知攻击方法和已知安全漏洞和网络安全策略的特征，采用确定性知识表达方式建立的，这种方式由于把网络攻击具有的客观不确定性采用确定的方式来处理，往往会舍弃网络攻击的某些重要的模糊特征，使检测过程产生失真[2]。因此传统的基于特征码的检测技术难免对未知攻击方式存在虚警和漏警，虽然对已知攻击具有很高的正确率，但却不能检测未知的木马攻击。由于网络攻击大多数是利用系统漏洞实施的[3]，即编写相应的攻击程序，达到攻击目的，针对一个漏洞进行的攻击源代码常常在网上共享。大多数新的木马源代码都是在原始代码的基础上进行改进的版本，或者平台移植后的版本，传统的基于特征码的木马检测技术必然很难对未知木马攻击作出有效的判断和检测，为克服传统的木马检测技术存在的缺陷，研究人员开始从网络攻击的模糊不确定性方面来考虑应对木马的检测方法[4]，常见的检测方式有：基于模糊Petri网的攻击知识表示与推理技术；基于模糊神经网络的学习推理技术；滥用监测不确定性知识表达与推理技术[5]。这些技术都是根据目标系统中收集的日志信息，从中提取模糊证据，根据知识库中事先定义的模糊知识模型，判断该程序是否具有某种攻击的可能性[6]。本文提出了一种基于模糊不确定性推理的木马检测技术，用于对已知木马和未知木马的检测和判断。2、国内外目前研究现状1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出，审计记录可以用于识别计算机误用，他对威胁进行了分类，第一次详细阐述了入侵检测的概念[4]；1984年SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型-IDES，是第一个在一个应用中运用了统计和基于规则两种技术的系统，是木马检测研究中最有影响的一个系统之一[5]；1984年戴维斯分校的ToddHeberlein第一次直接将网络数据流作为检测数据来源，因而可以在不将监控数据转换成统一格式的情况下监控不同类别主机，网络木马检测技术从此诞生[6]。木马一词源自于古希腊著名的特洛伊战争[2]。现代计算机中对于木马的定义是：木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。伴随着木马防御技术的不断发展，国内木马检测技术也加快了研究步伐[7]。近年来，国内外学者开始研究新的木马检测技术，并且提出了许多检测的新方法，国内学者开始从行为角度考虑应对方法，即根据程序的行为特征(如修改注册表、注册系统服务、修改系统文件等)判断其是否可疑，这种方法也称行为分析。McAfee公司在其一份白皮书中指出行为分析将成为基于特征码查杀方法的强有力的补充[7]。2005年，国防科技大学朱国强等人提出了基于程序行为分析的木马检测技术研究，2008年北京交通大学李江涛等人提出了基于行为的病毒检测系统的设计与实现等。上述几类检测方法在木马检测上取得了一定程度上的效果。虽然现有基于行为的木马检测技术得到了一定的推广，但是该技术还处于初步阶段，对很多模糊不确定攻击方式很难做出有效的判断，基于行为分析系统的应用面临着误报率过高的问题。木马分类器的设计经历了从经典分类方法到逐步优化的发展过程。目前国内外分类器设计主要有以下几种：（1）决策树归纳分类技术（2）基于规则的分类器（3）最近邻分类器（4）贝叶斯分类器（5）人工神经网络分类技术（6）支持向量机分类技术（7）组合方法分类技术（也称作分类器组合）（8）不平衡类问题的分类技术，等等。目前各类分类器根据自身的特征分别应用于不同的领域，而且在经典的算法的基础上，根据不同的应用分别进行了各自的改进算法。如王喆的面向模式表示与模式源的分类器设计方法研究。3、研究目标与内容3.1研究目标本次课题围绕模糊行为木马检测器的设计与研究，目的在于：1、根据目标系统中收集的木马信息，从中提取模糊证据，根据知识库中事先定义的模糊知识模型，判断该未知程序是否为木马程序。2、客观上来看，网络攻击有着不确定性，木马攻击更是如此，因此本文提出了一种基于模糊不确定性推理的木马检测技术，用于对已知木马和未知木马的检测和判断。3.2研究内容针对以上研究目标，本课题的研究内容主要包括1、传统木马与新型木马的攻击模式及其行为特征的研究传统型木马采用C/S的通信模式，一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）[8]。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统，当计算机装了防火墙后，防火墙通过监测、限制、修改跨越防火墙的数据流，可以对外屏蔽网络内部的结构、信息和运行情况，因此防火墙技术能够检测和识别绝大多数传统木马的数据连接通讯，从而对其进行拦截，因此，传统木马威胁逐渐减小。常见的木马行为有：修改注册表的自启动项、关联项及其他一些具有自启动功能的项；修改系统文件，如wini.ini，system.ini等；捆绑自启动文件；拷贝Autorun.inf文件；拷贝文件到系统目录；拷贝文件给自启动项；新增、删除文件等行为；打开、关闭端口；创建进程，远程线程注入，隐藏进程，关闭安全软件，记录键盘操作、屏幕截取操作等[9]。由于特洛伊木马程序不能自动启动[10]，一个特洛伊木马程序往往是包含或者安装在一个恶意的程序中，它可能看起来是有用或者有趣的计划（或者至少无害），对其不怀疑的用户常常运行这些程序，造成用户在不知情的情况下运行了木马程序。特洛伊木马运行时，信息或文档才被破坏和遗失。特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。新型木马在此传统木马的基础上采用了新的技术，如反向连接技术（端口反弹）、进程隐藏技术、拦截API法、进程注入技术、端口复用技术、无端口技术、远程线程注入技术等[11]。这些技术的出现使得木马不仅能够穿透防火墙，而且还可通过HTTP、SOCKS4/5代理，甚至还能访问局域网内部的设有公共IP的电脑，像用NAT透明代理和HTTP的GET型代理等的局域网，还可使木马通过拨号上网，由于普通的防火墙技术无法阻止这类木马与外界的联系，因此这类新型木马及其变种给连入网络的计算机带来的危害更大[12]。2、木马攻击的模糊不确定性特征的可行性分析客观上来看，网络攻击有着不确定性，目前传统木马检测系统的攻击知识库主要是根据已知攻击方法和已知安全漏洞和网络安全策略的特征，采用确定性知识表达方式建立的，这种方式由于把网络攻击具有的客观不确定性采用确定的方式来处理，往往会舍弃网络攻击的某型重要的模糊特征，使检测过程产生失真[13]。因此传统的基于特征码的检测技术难免对未知攻击方式存在虚警和漏警，虽然对已知攻击具有很高的真确率，但却不能检测未知的木马攻击。3、木马检测模型的设计该系统的模型如图1所示。该系统主要包含模糊事件分析模块，模糊推理模块，攻击知识获取模块，模糊警报模块。其中数据采集模块是对目标系统中程序有攻击可能的对象进行实时数据监控、记录并将结果交给行为模糊推理模块进行处理；知识获取模块是用来记录木马行为特征的，在模糊推理阶段判断正在运行的程序是否是木马程序；模糊警报模块是对模糊推理所做的判断给予相应的处理。系统响应目标系统数据采集原始数据模糊知识模糊推理模糊事件分析模糊证据模糊警报知识获取解释器用户接口图1系统模型3.3本课题的关键技术本课题关键技术在于：1、搭建合适的模糊攻击知识库，收集木马攻击的相关模糊证据，经过模糊知识推理，判断该程序是否为木马，实现对未知程序检测目的。2、根据模糊事件分析模块得出木马攻击的模糊证据，系统通过与用户接口和解释器的交互，做出模糊推理，最终发出模糊警报，触发系统响应。3、木马检测器的设计主要依赖于模糊数据库所收集到的木马行为，根据这些特征数据和木马模糊攻击行为，进行分析和推理，最终确定未知程序是否为木马程序。4、研究方案和实验方法4.1研究方案1、模糊攻击知识库的搭建。模糊攻击知识库的搭建关键问题就是行为特征数据库的建立，行为特征数据库主要集合了木马各种行为的特征抽象，要完整的描述各种木马行为，并且方便程序设计者调用分析，在本策略中所建立的行为特征库由一组特征向量12nN,,,AAAA，其中nA代表一个表示一个行为的特征向量[14]。对于每个行为的特征向量可以描述为如下几个部分[15]：⑴为特征抽象描述iP：以修改注册表自启动项为例，我们可以描述为“iP=修改注册表自启动项”。⑵用函数iC：由于木马上述行为在木马程序上一般表现为不同的API函数的调用，所以在对木马行为进行抽象描述时可描述为：iC=行为对应的API名称（即函数名称）。同样以修改注册表自启动项为例，因为木马在程序在进行修改注册表时要调用RegCreateKey函数，所以，可以把该行为调用API描述为相应的函数“RegCreateKey”。⑶模糊行为分析器分析行为。2、模糊行为分析模块的设计该模块对行为对象监控模块传来的数据进行分析，具体实现如下：首先对从行为对象监控模块传来的数据结合行为特征数据库中的对应行为的权值，计算各可疑行为的加权值之和，然后用这个加权值之和跟事先预定的阀值进行比较，如果权值之和大于阀值，那么未知程序就有很大可能是木马程序[16]。本策略根据各个可疑指标的可疑程度为每一个行为制定权值，并且把某个程序在此次运行中表现的不同行为的权值进行相加，将得到的值与事先规定的阀值进行比较，如果权值之和比临界值大，就确定此程序为木马程序[17]。具体的计算公式如下：1122nnMababab……其中ia为自重权数，表示每个行为特征的权值，并且满足121naaa……，规定i0,1a，ia的取值体现了相应行为特征在木马各行为特征中的重要程度。n代表某个程序在此次运行中表现的可疑行为的个数；M为此次运行的程序为木马程序的可疑程度值[19]。加权系数的确定原则是使预测误差的均方值最小，在这里利用过去k个取样值来进行预测，也可以称为k阶线性预测[20]