随着互联网在我国的普及程度越来越高,其在国家的政治、经济、军事、文化等领域发挥的作用也越来越重要,但与此同时,与互联网相关的安全问题也越来越严重,网络与信息安全已经成为了互联网不可避免的问题。2008年微软的IE7.0浏览器出现的的一次重大安全漏洞引起了安全界的广泛关注。而在2008年北京奥运会开幕的前夕,我国的互联网网络安全状况曾一度急剧恶化。据统计,2008年在中国大陆地区,共发现了438386个木马控制端,比2007年增长了近64.7%。另外,垃圾邮件,蠕虫病毒和分布式拒绝服务造成的危害也越来越严重。各种网络入侵行为带来的严峻的安全问题对安全产品也提出了更高的要求。网络安全态势感知就是近几年新兴起来的一种针对大规模网络的安全防御技术。目前对网络安全态势感知尚未有一个标准的定义,一般认为安全态势感知就是将底层各安全产品如入侵检测系统(IDS),防火墙等提供的能够反映网络安全状态的信息通过数据融合、归并和关联后形成更高层次的信息以反映网络当前的安全状态以及未来可能的安全走势,并通过可视化技术将这些信息提供给网络管理人员。网络安全态势感知技术能从更宏观的层次反映网络的状态,帮助网络管理人员及时发现各种网络入侵行为并做出应急响应措施。目前已经有越来越多的研究人员投入到网络安全态势感知的研究中,从某种程度上可以说网络安全态势感知技术代表了安全技术发展的一个新方向。由于近几年来,木马和后门攻击造成的危害有逐年升高的趋势,而目前尚未出现专门评估某一类特定攻击对网络安全态势影响的态势感知系统,因此本文在现有网络安全态势研究的基础上,设计了一个完整的恶意代码入侵检测系统,该系统着重于评估木马和后门攻击对网络及主机安全态势的影响。由于现有的入侵检测系统产生的告警信息量过于庞大,往往将真实的攻击信息淹没于其中而很难察觉和处理,为了准确的感知到木马的入侵,需要态势感知系统的传感器提供准确的检测信息,为此,我们在恶意代码态势感知系统的数据采集层设计了一个基于主机的木马传感器,该传感器部署在网络中各主机上,以木马入侵主机后产生的异常行为为基础检测木马,向恶意代码态势感知系统提供关于木马入侵的原始的告警信息,本文将重点介绍恶意代码态势感知系统中基于主机的木马传感器的设计和实现。本文的主要工作有如下几个方面:(1)介绍了网络安全态势感知相关的基本概念,分析了当前安全态势感知领域的研究现状。(2)介绍了本文设计的恶意代码态势感知系统中所采用的态势评估、威胁评估和态势预测方法。(3)介绍了目前在网络安全态势感知中广泛使用的传感器技术即入侵检测系统和防火墙技术,并指出这些技术存在的缺陷。(4)设计了一个完整的恶意代码态势评估系统,由于现有的各种网络安全态势评估系统并没有专门针对木马入侵行为的感知,本文设计并实现了一个基于主机的木马传感器,该传感器以木马入侵主机后产生的异常行为为基础检测木马,传感器提供的检测信息用于恶意代码态势感知系统进行安全态势评估和威胁评估时使用。本文提出的基于主机的木马传感器位于整个态势感知系统的最底层,为态势评估和威胁评估提供最原始信息。这些信息经过进一步的融合关联后最终将形成木马威胁的态势评估报告。