[00644047]基于异常行为分析的木马检测技术

木马的泛滥导致隐私信息和重要数据泄露，给个人、企业和国家带来无法估量的损失。现有的木马检测方法存在反应迟钝和智能化不足的缺点，尤其缺乏检测新型未知木马的能力。该项目研究开始于2008年，采用异常行为分析技术进行木马检测，力图在木马尚未对用户信息造成危害之前，发现木马行为，进而阻止未知木马的攻击，经过一系列的实验和应用，证明该研究提出的方法在检测未知木马方面具有一定成效。在取得一定进展后，于2013年获得河南省教育厅科技攻关项目资助。该项目主要进行了以下几个方面的工作：1.将异常行为分析技术引入木马检测领域，探索采用该方法发现未知木马。与常规木马检测方法不同，该研究采用异常行为分析技术，通过监测内存常规进程、关键文件以及网络端口等的工作状态，综合分析上述对象的异常工作状态，从而判定木马的存在。2.异常行为分析技术在木马检测领域应用方法研究。针对window系统，采用Window API Hook技术,采用改写执行代码注入技术与改写输入地址表相结合的方法，实现对疑似木马行为的提取。3.研究并提出更加有效的木马分类算法。探索提高马检测器检测正确率的有效方法。将支持向量机分类算法引入到木马检测领域，并通过实验证明了该算法在木马分类上的高效性。4．提出基于行为分析的木马检测模型，开发了木马检测系统，对新方法进行了验证。提出一个基于异常行为分析的木马检测模型，将上述新技术应用到该模型中，模型包括程序行为提取模块、行为检测模块、分析判断模块、训练模块、系统响应模块等。在该模型基础上，设计实现了基于异常行为分析的木马检测系统，在多家涉及上网业务及网络安全公司两年多来的实际应用，证明该项目提出的新方法除了具备常规木马检测工具的能力外，对未知木马的检测有较高的准确率。提高了使用单位的办公及生产效率，节省了信息安全防护方面的经费投入，两年多来累计创造经济效益1000万元以上。在项目研究与推广应用过程中，发表论文10余篇，其中，中文核心3篇，EI检索2篇；培养信息安全专业硕士研究生9人，均从事信息安全相关的工作。