基于行为监控的木马检测系统研究与实现

摘要	第4-5页
ABSTRACT	第5-6页
目录	第7-10页
第一章绪论	第10-13页
1.1 研究背景	第10-11页
1.2 研究内容	第11页
1.3 论文结构	第11-13页
第二章木马的相关原理	第13-22页
2.1 木马的基本概念	第13-17页
2.1.1 木马的定义	第13页
2.1.2 木马的工作原理	第13-15页
2.1.3 木马的行为特征	第15-16页
2.1.4 木马的分类	第16-17页
2.2 木马的传播方式	第17-18页
2.2.1 漏洞传播方式	第17-18页
2.2.2 文件捆绑传播方式	第18页
2.2.3 页挂马传播方式	第18页
2.2.4 社会工程学传播方式	第18页
2.3 木马关键技术	第18-21页
2.3.1 反弹木马技术	第19页
2.3.2 端口复用技术	第19-20页
2.3.3 钩子(HOOK)技术	第20页
2.3.4 线程注射技术	第20-21页
2.4 本章小结	第21-22页
第三章木马检测的关键技术	第22-35页
3.1 主流木马检测技术	第22-24页
3.1.1 特征代码检测技术	第22页
3.1.2 启发式检测技术	第22-23页
3.1.3 虚拟机检测技术	第23-24页
3.1.4 逆向工程检测技术	第24页
3.2 基于行为监控的木马检测关键技术	第24-34页
3.2.1 WINDOWS操作系统结构	第25-29页
3.2.1.1 用户模式和内核模式	第25-26页
3.2.1.2 WINDOW操作系统架构	第26-27页
3.2.1.3 应用程序与驱动程序	第27-29页
3.2.2 WINDOWS文件系统微过滤(Mini-Filter)驱动技术	第29-30页
3.2.3 系统服务描述符表挂钩(SSDT HOOK)技术	第30-31页
3.2.4 网络传输层过滤技术	第31-33页
3.2.5 通知例程技术	第33-34页
3.3 本章小结	第34-35页
第四章基于木马行为的检测方法	第35-47页
4.1 基于木马行为的检测方法的理论	第35页
4.2 木马攻击树与木马的行为序列	第35-39页
4.2.1 攻击树概念	第35-36页
4.2.2 构建木马攻击树	第36-38页
4.2.3 木马程序的行为序列	第38-39页
4.3 基于三角模糊数TOPSIS的木马判断方法	第39-46页
4.3.1 评价指标量化	第39-41页
4.3.2 多属性决策和TOPSIS方法	第41-43页
4.3.3 基于三角模糊数TOPSIS模型	第43-46页
4.3.3.1 MADM的决策矩阵	第43-44页
4.3.3.2 三角模糊数的排序	第44页
4.3.3.3 三角模糊数的距离	第44页
4.3.3.4 基于三角模糊数TOPSIS的木马判断	第44-46页
4.4 本章小结	第46-47页
第五章基于行为监控的木马检测系统的设计	第47-62页
5.1 总体设计	第47-48页
5.2 行为监控模块设计	第48-59页
5.2.1 文件监控模块	第49-51页
5.2.2 注册表监控模块	第51-53页
5.2.3 进程监控模块	第53-56页
5.2.4 网络通信监控模块	第56-59页
5.3 木马行为特征匹配模块	第59-61页
5.4 木马判断模块	第61页
5.5 本章小结	第61-62页
第六章系统测试	第62-66页
6.1 系统测试的实验环境	第62页
6.2 稳定性测试	第62页
6.3 功能模块测试	第62-63页
6.3.1 逻辑功能测试	第62-63页
6.3.2 兼容性测试	第63页
6.4 木马测试	第63-65页
6.4 测试小结	第65-66页
第七章总结与展望	第66-67页
7.1 总结	第66页
7.2 展望	第66-67页
参考文献	第67-69页
致谢	第69页