论文部分内容阅读
近年来,随着计算机和网络技术的迅速发展,人们对网络的依赖程度越来越高,而网络安全问题越发突显,其中木马的威胁越来越大。木马分析是检测和防范木马的重要基础,但是人工对木马的分析变得日益困难。在应用场景中,安全研究人员不仅对木马表现出来的各种外在特征比较关心,也对木马的同源性和历史演变等内在特性相当关注,比如木马从何而来、如何演变与发展及木马相互之间的联系等。木马同源性也逐渐成为计算机网络犯罪取证的一种重要手段,因此木马同源性研究已经成为近年来的研究热点。目前,针对木马同源性分析研究较少,论文在对相关文献研究的基础上,集成已有的相关理念,提出木马同源性分析模型(Analysis Model Of Trojan Homology,AMTH),相比于其他的分析模型或系统,该模型增加了木马同源性分析的特征指纹条目。论文对模型中抽象的数学原理进行了阐述,指明了模型中的木马特征提取、关键特征指纹选取两个难点技术及需要重点研究的特征指纹相似性度量、木马样本聚类两个关键技术。在提出同源性分析模型的基础上,本文研究了静态分析技术和动态分析技术,引入PE文件、导入函数、Windows API作为动静态分析点,用于木马样本分析。研究了木马关键特征指纹定位选取和特征指纹相似性度量方法,通过特征指纹相似度来度量样本间的同源性,提出了基于层次聚类技术对木马样本进行聚类的分析方法。同时,设计了基于AMTH模型的原型系统,用于木马同源性分析,系统包括控制中心模块、特征指纹入库模块、单指纹分析模块、多指纹分析模块、单样本分析模块、多样本分析模块及木马特征指纹库部分。论文选取131个木马样本对基于分析模型设计的原型系统进行测试,测试结果表明该系统能够将同类家族的木马样本聚集,能够区分不同类家族的木马样本,表明模型具有良好的实用效果。