特洛伊木马(简称木马)技术是最常见的网络攻击技术之一,在网络攻击过程中占据着重要的地位。木马成功植入系统后,它通常利用各种手段来隐藏痕迹,以提高其可生存性。特洛伊木马的可生存性是木马生存能力的体现,也是木马隐藏的本质,它决定着木马的生存周期和对目标环境的影响程度。深入研究木马的可生存性,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息系统有重要意义。本文的研究工作以国家电子政务信息安全保障试点工作“网络攻防技术研究”为基础,对木马的可生存性进行了深入地研究。首先,结合Petri网理论和多代理系统,以提高木马可生存性为目的,提出了新的木马模型MATH(Multi-agents Trojan horse)。同时,对木马可生存性量化进行了研究,利用层次分析法建立了木马可生存性量化指标体系,确定了木马可生存度的计算方法。然后,设计并实现了一个基于MATH模型的木马原型。该原型利用多代理间的分工与协同,将内核级的深度隐藏与应用级的强大远程控制功能相结合,改变了当前绝大多数木马采用被动隐藏,确保其可生存性的不利局面。并在实施全面、深度隐藏的基础上,从消除保护、主动消除等方面,提高木马原型的可生存性。行为对抗研究和木马原型仿真实验发现:当前检测工具的个体行为无法对抗来自MATH模型木马的群体行为。对木马检测方法的研究,应注重检测工具群体协同行为的研究,实现群体对抗,才能有效弥补检测行为单一的缺陷,否则将在未来攻防对抗中,处于被动地位。最后,本文对木马检测技术进行了分析和总结。论文的主要创新之处在于:(1)从行为对抗的角度,对木马的可生存性进行研究。提出木马可生存度的概念,初步建立了木马可生存度的计算方法。(2)提出了新的木马模型MATH,该模型体现的是个体内部行为对抗特性,个体与个体间分工协同的系统可生存性观点。(3)在攻防技术交替上升中,改进现有检测工具的工作方式,提出多代理协同工作的思想,增强其检测能力。