论文部分内容阅读
随着信息化建设的发展,网络已经成为支撑许多行业开展业务的基础平台,网络安全将直接影响到其业务的正常实施,甚至关系到国家的安全和社会的稳定。在危害网络安全的因素中,恶意软件(Malware)的危害性最高,它通过网络途径进行广泛传播,对主机系统安全和网络安全的威胁日益增加。其中木马程序在网上的传播和活动呈快速增长的趋势,成为恶意软件的的主要组成部分,并且木马的攻击目的性逐渐增强。当前已知木马检测技术比较成熟,主要使用基于特征码检测技术、基于网络数据包检测技术。这两种技术需要提取已知木马样本的特征,所以不能检测未知木马。未知木马检测技术主要有基于关联分析的检测技术、基于虚拟机的检测技术、基于特洛伊DLL的检测技术、基于系统资源访问的检测技术。对未知木马的检测技术多是在木马攻击行为发生时实施被动检测,即在木马种植到目标主机后,实施攻击行为的过程中采用相应技术对木马的攻击行为进行判断、评估,所以普遍存在误报率高、漏报率高、检测滞后的缺陷。基于对当前木马检测技术的弱点分析,本文在研究木马的攻击模式、种植方式和Windows安全机制的基础上,提出了边界防御和环境控制协同防御的木马深度防御体系思想,其主要技术创新点:
㈠在主机边界上对木马种植途径进行检测,阻止木马在主机上的种植,实现对木马的主动检测,变被动检测为主动检测。
㈡在主动检测的基础上,构建工作环境控制机制,实现对应用程序运行的审核,抑制木马实施其攻击行为,保护主机信息的安全,变查杀木马为抑制木马。
㈢边界防御与环境控制协同,形成用户工作环境下的木马纵深防御体系。基于上述思想,本文设计了二层架构的木马深度防御体系(DDST)原型。二层架构的木马深度防御体系有两层架构组成:①边界检测防御层(BDDL),边界检测防御层在主机边界对木马种植实施主动防御。木马种植主要集中在脚本攻击、缓冲区溢出漏洞以及邮件附件三种种植方式。因此,边界检测防御层由脚本监控模块、远程缓冲区溢出监控模块,文件分析检测模块分别对三种种植方式实施主动检测。②工作环境控制层(WECL),工作环境控制层对边界检测防御层不能检测出的木马程序或者“隐蔽”进入系统的木马程序的工作环境和其攫取系统特权的途径进行控制,使之无法实施其攻击行为。工作环境控制层由进程环境控制模块、服务管理控制模块、注册表监控模块、异常诊断模块、策略库、策略审计模块组成。
㈣二层架构的木马深度防御体系将边界防御与环境控制相结合,形成对木马攻击的纵深防御。在边界防御层对木马的主要种植方式进行主动检测克服了当前未知木马检测技术进行被动检测带来的弱点。工作环境控制层对木马的工作环境进行控制,具有效率高、普适性好的优点。
㈤二层架构的木马深度防御体系对2个已知木马、4个未知木马、4种种植方式进行种植和检测实验。实验结果表明:二层架构的木马深度防御体系不但能够检测出2种已知木马,而且能够准确检测出4种未知木马,并能够防御通过4种种植方式进行的木马种植。因此,二层架构的木马深度防御体系有较好的检测有效性,具有较高的实用价值。