基于主机和网络特征关联的木马检测方法研究
发布时间:2022-12-17 17:40
近年来高级可持续威胁(Advanced Persistent Threat,APT)攻击事件频频发生,木马程序作为一种高潜伏性、高威胁性、高隐蔽性的恶意软件在APT攻击中扮演着重要的角色。木马程序对个人、企业、社会组织以及国家的网络空间安全造成严重的威胁。对木马程序的检测一直是网络安全领域的研究热点,国内外的研究者已经提出了许多的木马检测方法,但是目前的检测方法大多是单独分析主机或网络的特征表现,其检测的漏报率和误报率仍有待降低,并且检测结果的可靠性也有待提高。本文首先深入分析了木马程序的运行原理及其通信过程中的不同阶段的不同表现。针对目前基于网络的木马检测方法需要一段时间来统计流量特征而导致的检测延迟问题,提出了一种基于网络流量分析的快速木马检测方法,实现了在木马通信早期对木马通信会话进行快速检测。其次,为了进一步降低木马检测的误报率和漏报率,增强木马检测抵抗混淆技术的能力,提出了一种基于主机和网络特征关联的分段木马检测方法,该方法将主机特征和网络特征进行关联,并为木马通信的两不同阶段使用机器学习分类算法训练了不同的检测器。最后,搭建了真实的实验环境进行了实验。实验结果表明基于网络流...
【文章页数】:67 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.3 主要研究内容
1.4 论文组织结构
第二章 相关理论与技术基础
2.1 木马概述
2.1.1 木马概述及分类
2.1.2 木马运行流程
2.2 常用的机器学习分类算法
2.3 本章小结
第三章 一种基于网络流量分析的木马检测方法研究
3.1 网络流量识别技术分析
3.2 木马网络通信特征分析
3.2.1 木马的网络通信流程分析
3.2.2 木马的网络通信特征分析
3.3 一种基于网络流量分析的快速木马检测方法
3.3.1 检测模型特征抽取
3.3.2 木马通信快速检测模型
3.4 实验结果与分析
3.4.1 实验环境及数据集
3.4.2 检测结果
3.4.3 结果分析
3.5 本章小结
第四章 基于主机和网络特征关联的分段木马检测方法研究
4.1 木马运行时资源占用情况分析
4.1.1 木马运行时主机资源占用情况
4.1.2 木马运行时网络资源占用情况
4.2 木马的主机特征和网络特征分析
4.2.1 主机特征
4.2.2 网络特征
4.3 一种基于主机和网络特征关联的木马检测方法
4.3.1 检测模型框架
4.3.2 特征抽取与关联
4.3.3 检测模型构建
4.3.4 检测结果输出
4.4 实验结果与分析
4.4.1 实验环境及数据集
4.4.2 检测结果
4.4.3 结果分析
4.5 本章小结
第五章 总结与展望
5.1 总结
5.2 展望
致谢
参考文献
附录
A 作者在硕士期间参加项目及发表论文情况
B 表目录
C 图目录
【参考文献】:
期刊论文
[1]Rootkit研究综述[J]. 张瑜,刘庆中,李涛,罗自强,吴丽华. 电子科技大学学报. 2015(04)
[2]一种基于多层联合分析的HTTP隧道木马检测方法[J]. 兰景宏,刘胜利,李晔,肖达,王东霞. 计算机应用研究. 2016(01)
[3]远控型木马通信三阶段流量行为特征分析[J]. 李巍,李丽辉,李佳,林绅文. 信息网络安全. 2015(05)
[4]一种关联网络和主机行为的延迟僵尸检测方法[J]. 何毓锟,李强,嵇跃德,郭东. 计算机学报. 2014(01)
[5]一种基于分层聚类方法的木马通信行为检测模型[J]. 李世淙,云晓春,张永铮. 计算机研究与发展. 2012(S2)
硕士论文
[1]基于时间序列分析的木马网络会话检测技术研究[D]. 吴双.解放军信息工程大学 2017
[2]基于Petri网的木马通信行为检测技术研究[D]. 沙婷婷.苏州大学 2015
[3]基于通信行为分析的木马检测技术研究[D]. 孙海涛.解放军信息工程大学 2011
本文编号:3720359
【文章页数】:67 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.3 主要研究内容
1.4 论文组织结构
第二章 相关理论与技术基础
2.1 木马概述
2.1.1 木马概述及分类
2.1.2 木马运行流程
2.2 常用的机器学习分类算法
2.3 本章小结
第三章 一种基于网络流量分析的木马检测方法研究
3.1 网络流量识别技术分析
3.2 木马网络通信特征分析
3.2.1 木马的网络通信流程分析
3.2.2 木马的网络通信特征分析
3.3 一种基于网络流量分析的快速木马检测方法
3.3.1 检测模型特征抽取
3.3.2 木马通信快速检测模型
3.4 实验结果与分析
3.4.1 实验环境及数据集
3.4.2 检测结果
3.4.3 结果分析
3.5 本章小结
第四章 基于主机和网络特征关联的分段木马检测方法研究
4.1 木马运行时资源占用情况分析
4.1.1 木马运行时主机资源占用情况
4.1.2 木马运行时网络资源占用情况
4.2 木马的主机特征和网络特征分析
4.2.1 主机特征
4.2.2 网络特征
4.3 一种基于主机和网络特征关联的木马检测方法
4.3.1 检测模型框架
4.3.2 特征抽取与关联
4.3.3 检测模型构建
4.3.4 检测结果输出
4.4 实验结果与分析
4.4.1 实验环境及数据集
4.4.2 检测结果
4.4.3 结果分析
4.5 本章小结
第五章 总结与展望
5.1 总结
5.2 展望
致谢
参考文献
附录
A 作者在硕士期间参加项目及发表论文情况
B 表目录
C 图目录
【参考文献】:
期刊论文
[1]Rootkit研究综述[J]. 张瑜,刘庆中,李涛,罗自强,吴丽华. 电子科技大学学报. 2015(04)
[2]一种基于多层联合分析的HTTP隧道木马检测方法[J]. 兰景宏,刘胜利,李晔,肖达,王东霞. 计算机应用研究. 2016(01)
[3]远控型木马通信三阶段流量行为特征分析[J]. 李巍,李丽辉,李佳,林绅文. 信息网络安全. 2015(05)
[4]一种关联网络和主机行为的延迟僵尸检测方法[J]. 何毓锟,李强,嵇跃德,郭东. 计算机学报. 2014(01)
[5]一种基于分层聚类方法的木马通信行为检测模型[J]. 李世淙,云晓春,张永铮. 计算机研究与发展. 2012(S2)
硕士论文
[1]基于时间序列分析的木马网络会话检测技术研究[D]. 吴双.解放军信息工程大学 2017
[2]基于Petri网的木马通信行为检测技术研究[D]. 沙婷婷.苏州大学 2015
[3]基于通信行为分析的木马检测技术研究[D]. 孙海涛.解放军信息工程大学 2011
本文编号:3720359
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3720359.html
