计算机硕士开题报告【参考】.doc

硕士研究生学位论文开题报告 题 目：院系名称： 信息科学与工程学院 指导教师： 学生姓名： 学 号： 2013年10月1日 基于模糊不确定性推理的木马检测技术 1、研究背景和意义 随着计算机网络技术的飞速发展，信息网络已经成为社会发展的重要保证,网络信息中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种黑客的攻击。据2013年8月CNCERT互联网安全威胁报告数据统计，境内被木马篡改网站数量为7495个，其中被篡改政府网站数量为628个；境内被木马植入后门的网站数量为13003个，其中政府网站有432个；针对境内网站的仿冒页面数量为2495个[1]，这都给我们国家网络信息产业造成了严重的经济损失。2011年全国政府网站中，有25个政府网站由于存在比较严重的安全漏洞，存在较高的网页挂马风险，占被抽查网站总数的0.35%[2]。2012年度瑞星公布的589万余人访问这些网页，累计有8亿人遭木马攻击[3]。大型网站、浏览器和流行软件成为黑客窥测的对象，一季度有24202个大型网站被植入木马，这已经成为威胁国内互联网安全的最主要因素之一。 客观上来看，网络攻击有着不确定性：（1）攻击行为本身存在随机性、模糊性以及人们对攻击行为的认识是不精确的、不完全的，具有一定的不确定性。（2）大量未解决的重要问题往往需要运用专家的经验，经验性的知识在获取与转换工程中都有某种不确定性[3]。 目前木马检测系统的攻击知识库主要是根据已知攻击方法和已知安全漏洞和网络安全策略的特征，采用确定性知识表达方式建立的，这种方式由于把网络攻击具有的客观不确定性采用确定的方式来处理，往往会舍弃网络攻击的某些重要的模糊特征，使检测过程产生失真[2]。因此传统的基于特征码的检测技术难免对未知攻击方式存在虚警和漏警，虽然对已知攻击具有很高的正确率，但却不能检测未知的木马攻击。 由于网络攻击大多数是利用系统漏洞实施的[3]，即编写相应的攻击程序，达到攻击目的，针对一个漏洞进行的攻击源代码常常在网上共享。大多数新的木马源代码都是在原始代码的基础上进行改进的版本，或者平台移植后的版本，传统的基于特征码的木马检测技术必然很难对未知木马攻击作出有效的判断和检测，为克服传统的木马检测技术存在的缺陷，研究人员开始从网络攻击的模糊不确定性方面来考虑应对木马的检测方法[4]，常见的检测方式有：基于模糊Petri网的攻击知识表示与推理技术；基于模糊神经网络的学习推理技术；滥用监测不确定性知识表达与推理技术[5]。这些技术都是根据目标系统中收集的日志信息，从中提取模糊证据，根据知识库中事先定义的模糊知识模型，判断该程序是否具有某种攻击的可能性[6]。本文提出了一种基于模糊不确定性推理的木马检测技术，用于对未知的检测和判断国内外目前研究现状 1980JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出，审计记录可以用于识别计算机误用，他对威胁进行了分类，第一次详细阐述了入侵检测的概念[4]；1984年SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型-IDES，是第一个在一个应用中运用了统计和基于规则两种技术的系统，是木马检测研究中最有影响的一个系统之一[5]；1984年戴维斯分校的ToddHeberlein第一次直接将网络数据流作为检测数据来源，因而可以在不将监控数据转换成统一格式的情况下监控不同类别主机，网络木马检测技术从此诞生[6]。 木马一词源自于古希腊著名的特洛伊战争。现代计算机中对于木马的定义是：木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。 (如修改注册表、注册系统服务、修改系统文件等)判断其是否可疑，这种方法也称行为分析。McAfee 公司在其一份白皮书中指出行为分析将成为基于特征码查杀方法的强有力的补充[7]。 2005年，国防科技大学朱国强等人提出了基于程序行为分析的木马检测技术研究，2008年北京交通大学李江涛等人提出了基于行为的病毒检测系统的设计与实现等。上述几类检测方法在木马检测上取得了一定程度上的效果。 虽然现有基于行为的木马检测技术得到了一定的推广，但是该技术还处于初步阶段，对很多模糊不确定攻击方式很难做出有效的判断，基于行为分析系统的应用面临着误报