网络技术的迅速发展在给人们的生活带来巨大方便的同时，也带来了非常严峻的安全问题。在虚拟的网络世界里，利用木马窃取机密信息的黑客入侵行为日益增多，给用户和企业的利益、甚至国家安全带来了难以估量的危害。 当前的一些木马检测技术对于检测已知木马比较有效，但进行信息获取攻击的黑客往往都是木马的设计者，他们只需要对木马进行简单修改就可以成功地躲避拦截。而常用的一些检测未知木马的技术往往只检测木马的某种可疑行为，只根据单个可疑木马行为就做出判断，因此容易造成漏报和误报。为了有效地检测未知木马，首先需要对木马在信息获取攻击各阶段中常用的攻击方法进行分析，总结木马的各种活动规律，然后将主机中的各种可疑行为综合起来进行关联分析以发现未知木马。 本文提出了一种基于关联分析的木马实时检测模型RTTDMBRA（Real Time TroianDetection Model Based on Related Analysis，RTTDMBRA）。RTTTDMBRA通过监视用户定义的各种可疑APl调用和外来文件在主机中的活动并进行实时关联分析，能够检测主机中采用模块化方式协同工作的未知木马。根据单个可疑木马行为就能够准确判断的木马不属于RTTDMBRA检测的范围。 RTTDMBRA分为事件监测引擎和信息处理中心两部分。事件监测引擎一方面监测外来文件在主机中的活动，并把活动记录以事件的方式存放到外来文件档案中：另一方面根据用户自定义的可疑API函数表来监测主机中各种可疑木马行为，并把生成的事件存放到可疑木马事件库中。信息处理中心负责对外来文件档案和可疑木马事件库中的事件进行实时的多级关联分析，关联分析的顺序是首先按事件的进程名称进行关联，然后按进程的创建关系进行关联，最后是按所访问的文件进行关联。通过对最终关联的结果进行分析，如果发现某个外来文件所生成的进程以及它的子进程按时间顺序完成了隐藏、获取主机信息和回传文件三种行为或者隐藏、渗透攻击两种行为，则认为该进程以及它的子进程是木马进程，木马进程所对应的磁盘映像为木马文件，最后信息处理中心终止木马进程，并将木马文件从主机中完全清除。 本文的主要工作包括： ◆ 对木马在信息获取攻击各阶段中常用的各种攻击方法进行了详细分析，并对当前木马的发展趋势进行了阐述。 ◆ 对几种常用的木马检测技术进行了分析。 ◆ 提出了基于关联分析的木马实时检测模型，并对RTTDMBRA的各个组成部件、算法流程进行了分析。 ◆ 利用几种常用的未知木马检测技术和RTTDMBRA分别对广外男生0.92、灰鸽子以及MiniEngine三种木马进行了实验检测，并对检测结果进行了对比分析。实验证明，常用的未知木马检测技术能够检测出广外男生0.92、灰鸽子，但不能检测出采用模块化方式协同工作的MiniEngine木马。而RTTDMBRA通过关联分析不但能够实时、准确地检测到广外男生0.92、灰鸽子这些典型的木马程序，而且能够检测出主机中采用复杂技术进行隐藏的、穿透主机防火墙并且以模块化方式协同工作的未知木马，因此RTTDMBRA具有一定的可用性。