随着互联网技术的发展和普及,计算机网络得到了广泛应用。一方面,人们充分享受到了其带来的巨大便利,但另一方面,由于计算机系统和信息网络系统本身固有的脆弱性,越来越多的网络安全问题开始困扰我们,比如黑客攻击、计算机病毒、特洛伊木马等。木马是一种非复制性恶意程序,常常执行未经用户授权的操作,其目的是窃取用户主机上的私密信息,比如银行密码、重要文件等。木马以其隐蔽性强、攻击范围广、危害大等特点成为最常见的攻击技术,对互联网的安全构成了严重威胁。因此,研究木马程序工作机理,分析其典型攻击技术,进而提出有效的检测和遏制方法,具有重要的现实意义。传统的基于特征码技术的检测方法严重滞后于木马的产生,不能对新出现的木马进行有效检测。而木马编写和制作技术的进步,比如压缩、加密等,也对特征码技术带来了挑战。本文致力于通过行为分析的方法来识别木马,以期达到对已知和未知木马的有效检测,弥补传统特征码技术的缺陷。本文对Windows平台下的木马攻击技术进行了深入研究,剖析其核心工作机理、关键技术、新的发展趋势,并对当前主流木马检测技术进行了对比和分析,在此工作的基础上,设计并实现了一个基于行为分析的木马检测原型系统。本文主要工作如下:1.分析总结了当前主流木马的攻击原理和实现技术细节,对木马在植入、启动、运行、通信等阶段的隐藏技术进行深入剖析,预测了木马程序发展方向。2.分析了当前各种木马检测方法的工作原理和关键技术,总结比较其优缺点。3.搭建了分析环境,采用动态分析和经验知识分析相结合的方法,总结归纳出木马在各个攻击阶段的行为特征,并以此为基础构建了木马行为特征库。4.提出了一个基于行为分析的木马检测系统,详细说明了该系统的设计思路和实现的关键技术,并研究了数据挖掘中的决策树分类算法在行为分析中的应用,以此作为系统的判定基础。5.对原型系统进行了三方面测试,并给出测试结果和相应分析。由于该系统采用的行为分析技术不依赖于木马的特征码,因此不光可以检测已知木马,还能检测未知木马;同时因为结合了决策树分类算法,系统的误报率大大降低。