学位论文 > 优秀研究生学位论文题录展示
基于网络传输内容的木马检测系统的设计与实现
作 者: 王艳艳
导 师: 高福祥
学 校: 东北大学
专 业: 计算机应用技术
关键词: 木马检测 帧捕获 协议分析 模式匹配
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 5次
引 用: 0次
阅 读: 论文下载
内容摘要
随着计算机网络技术的迅速发展,Internet逐渐渗透到政府、工业、教育、国防领域,网络在方便地带来大量信息的同时,也带来了病毒、木马、蠕虫等诸多安全问题,特别是木马,严重威胁着联网计算机的信息安全。单机检测方法针对木马文件信息进行检测,无法保证发现所有木马。行为分析虽然有效,但是如果网络中存在未采用单机检测的计算机,就可能存在木马,危害整个网络的信息安全。入侵检测系统主要针对外部对内部的病毒攻击,对于网络内部的监控审计有所欠缺。因此,设计一种专用于检测网络中活动木马的系统是必要的。本文主要研究基于网络传输内容的木马检测系统的设计与实现。实现对网络数据进行实时采集,通过对捕获到的帧进行协议分析和处理,从而有效的监测网络中存在的木马。即使在被检测的网络内部,用户没有安装防护软件,也能够由网络监管人员发现木马并及时采取措施,避免造成不必要的损失。该系统采用C/S架构,利用PF_RING、 NAPI、实时中断的帧捕获技术进行网络接口层的帧捕获;采用协议分析技术对TCP/IP各层协议头部的解析并获取传输层数据;使用WM多模式匹配算法,对传输层数据进行木马检测并将检测结果输出到数据库;对可疑的TCP连接,通过伪造并发送RST包,进行强制阻断。该系统采用MySQL数据库保存木马通信特征码、TCP阻断名单和木马检测结果,为静态数据库分析提供数据支持。本文首先介绍了基于网络传输内容的木马检测系统的设计背景及相关技术,通过分析系统的可行性和需求,采用模块化设计思想完成整个系统的总体设计和详细设计。实现部分详细介绍了系统各个功能模块的具体实现流程、主要数据结构和模块接口,完成系统木马检测功能和TCP阻断功能。通过在构建的实验环境下对该系统进行了相关测试,并对实验数据和实验结果进行了分析,系统功能能够达到预期目标。最后对本文的设计进行了总结,指出设计中有待改进的地方,明确下一步的研究方向。
|
全文目录
摘要 5-6 Abstract 6-10 第1章 绪论 10-14 1.1 研究背景 10 1.2 国内外研究现状 10-12 1.2.1 木马攻击技术发展现状 10-11 1.2.2 木马检测技术发展现状 11-12 1.3 课题意义 12 1.4 论文的组织结构 12-14 第2章 相关技术 14-24 2.1 木马概述 14-15 2.1.1 木马的基本概念 14 2.1.2 木马的基本特征 14 2.1.3 木马的通信原理 14-15 2.2 帧捕获技术 15-19 2.2.1 传统的Libpcap 16 2.2.2 Memory-Map技术 16-17 2.2.3 NAPI机制 17-18 2.2.4 PF_RING机制 18-19 2.2.5 帧捕获技术比较 19 2.3 字符串的模式匹配 19-23 2.3.1 AC算法 20-21 2.3.2 ExB算法 21 2.3.3 WM算法 21-23 2.3.4 模式匹配算法性能比较 23 2.4 本章小结 23-24 第3章 系统分析 24-28 3.1 系统可行性分析 24-25 3.1.1 经济可行性 24 3.1.2 技术可行性 24-25 3.1.3 操作可行性 25 3.2 需求分析 25-26 3.2.1 系统实现目标 25 3.2.2 功能性需求分析 25 3.2.3 非功能性需求分析 25-26 3.3 本章小结 26-28 第4章 系统设计 28-38 4.1 系统框架设计 28-29 4.2 系统功能结构设计 29 4.3 服务器端功能模块设计 29-34 4.3.1 帧捕获模块 29-30 4.3.2 协议分析模块 30-32 4.3.3 木马检测模块 32-33 4.3.4 响应操作模块 33-34 4.4 客户端功能模块设计 34-35 4.4.1 服务器状态管理模块 34-35 4.4.2 数据库管理模块 35 4.4.3 检测结果管理模块 35 4.5 数据库设计 35-37 4.5.1 数据库选择 35-36 4.5.2 数据字典设计 36-37 4.6 本章小结 37-38 第5章 系统实现 38-62 5.1 系统开发环境 38-39 5.1.1 操作系统 38 5.1.2 开发工具和语言 38-39 5.2 帧捕获模块 39-44 5.2.1 工作流程 39-40 5.2.2 数据结构 40-42 5.2.3 模块接口 42-44 5.3 协议分析模块 44-50 5.3.1 工作流程 44-46 5.3.2 数据结构 46-49 5.3.3 模块接口 49-50 5.4 木马检测模块 50-55 5.4.1 WM算法流程 51 5.4.2 工作流程 51-53 5.4.3 数据结构 53-54 5.4.4 模块接口 54-55 5.5 响应操作模块 55-57 5.5.1 工作流程 56-57 5.5.2 模块接口 57 5.6 服务器状态管理模块 57-58 5.7 数据库管理模块 58-59 5.8 检测结果管理模块 59-60 5.9 本章小结 60-62 第6章 系统测试 62-70 6.1 测试环境 62 6.2 帧捕获及协议分析模块测试 62-64 6.3 TCP阻断测试 64-65 6.4 系统整体测试 65-68 6.5 测试结果分析 68 6.6 本章小结 68-70 第7章 总结与展望 70-72 7.1 本文工作总结 70 7.2 进一步工作展望 70-72 参考文献 72-76 致谢 76-78 攻读硕士学位期间发表的论文和参加的项目 78
|
相似论文
- 基于查询接口的Deep Web模式匹配方法研究,TP311.13
- 应用层协议识别和还原方法的研究与实现,TP393.08
- 基于机器学习的入侵检测系统研究,TP393.08
- 一个基于模式匹配的轻量级网络入侵检测系统设计与实现,TP393.08
- 基于NEL的GTP协议分析及监控系统的设计和实现,TN929.5
- Web环境下基于语义模式匹配的实体关系提取方法的研究,TP391.1
- 面向不确定感知数据的异常数据检测技术,TN929.5
- 基于Snort入侵检测系统的改进系统的设计与实现,TP393.08
- 僵尸网络技术检测与防范系统,TP393.08
- 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
- 入侵检测系统中的离散特征检测方法研究,TP393.08
- Windows环境下针对Rootkit隐藏技术的木马检测技术,TP393.08
- 基于DOM建模的网页木马检测的分类器设计,TP309.5
- 分布式非结构化文本数据安全分析系统研究与设计,TP393.08
- 基于深度协议分析与动态规则集的MSN入侵检测引擎研究与实现,TP393.08
- XML树模式匹配查询研究,TP311.13
- 基于Rete算法的规则引擎的设计与实现,TP311.52
- 面向网络预警的并行模式匹配方法研究,TP393.08
- 基于XML的异构数据库共享研究,TP311.13
- 高速网络环境下入侵检测系统的设计与实现,TP393.08
- 时域脉冲平衡零拍测量中的模式匹配,O431.2
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|