近年来,“特洛伊木马”(以下简称木马)数量迅速增加,在各类非法程序中已经占到了最大的比重,由木马所造成的破坏和损失也越来越严重,因此,反木马的研究己成为网络安全领域的一个热点和重点。 行为分析由于具有检测特征码未知的木马、病毒等非法程序的能力,而成为反木马、反病毒等研究领域的一个热点。与传统基于特征码的静态扫描技术不同的是,它根据应用程序运行时表现出来的动态行为特征,判别程序是否合法。但由于其在具体实施时一般有较高的误报率,所以至今仍未象特征码技术那样得到广泛的应用。 确定木马的行为特征是进行木马行为分析之前必需的准备工作。本文分析归纳了木马服务器在安装、启动和网络通信阶段的行为特征,并介绍木马行为分析的原理、优缺点并探讨其实现技术。 分类算法(如朴素贝叶斯分类算法)结合样本的多个属性的取值对样本进行分类,并且它们均被用作对未知类别的样本的分类,这与将行为分析应用于未知木马判断的目的相吻合。本文描述了目前安全软件中木马行为分析模块的一般工作流程,针对其误报和漏报的原因,提出朴素贝叶斯分类算法在木马行为分析中的应用。为检验该算法在降低木马误报率上的效果,本文对同一组木马和合法程序进行了两次分类实验,一次使用某安全软件的木马行为分析模块,另一次则是本文提出的结合了朴素贝叶斯算法的木马行为分析方法,并对两者的误报率和漏报率作了比较。 在实验中,共收集了228个合法程序,并查阅和研究了224个木马的技术细节,本文提出的方法漏报率约为10.71%,误报率约为0.44%,比另一种行为分析方法下降了约12和40个百分点。 最后,在上述理论分析和实验的基础上,本文提出了一种基于行为分析的新型的反木马策略。该策略采用了远程线程注射、输入地址表修改等技术,同时结合朴素贝叶斯分类算法进行木马判别。