1、近年來，隨著計算機技術的快速發(fā)展，互聯(lián)網(wǎng)應用得到快速普及，網(wǎng)絡用戶也在急劇增加，這也使得互聯(lián)網(wǎng)用戶的機器時刻暴露于黑客的控制監(jiān)控下，成為黑客的攻擊目標，甚至將用戶的機器作為攻擊其它機器的終端。木馬程序作為惡意程序的一種，經(jīng)常被作為黑客竊取互聯(lián)網(wǎng)用戶的賬號信息、私人資料或商業(yè)秘密等的重要攻擊手段。相比其他種類的惡意程序，木馬程序具有更大的破壞性和危險性，因此本文針對木馬檢測技術進行研究。
　　木馬檢測技術一般分為靜態(tài)和動態(tài)兩種檢測技

2、術，靜態(tài)檢測技術不需要直接運行程序，不僅不會對系統(tǒng)造成真實的破壞，而且檢測速度快，誤報率低，但需要龐大的特征庫支撐，并且在面對已知木馬程序的隱藏和變化時略顯不足，對于未知木馬程序亦是無能為力;而動態(tài)檢測技術可以實時截獲木馬行為，也能依據(jù)木馬行為檢測出新的木馬，但是運行程序需要占用較多的系統(tǒng)資源導致效率不高，對于已經(jīng)發(fā)現(xiàn)的木馬程序，會造成事實上的危害。沙箱(Sandbox)技術是一種通過對程序?qū)嵤┫拗聘綦x的安全保護機制，可用于測試可疑程序

3、，為避免其惡意行為對系統(tǒng)造成危害，把程序生成和修改的資源重定向到沙箱中，程序操作的并不是真實的資源，而是虛擬的資源或者是一個副本，從而實現(xiàn)程序的隔離。因此，本文采用沙箱作為動態(tài)檢測木馬的隔離環(huán)境，可以保護真實主機不受破壞且具備與真機運行一樣的效果。
　　本文主要針對Windows下的PE文件，分析了當前木馬檢測技術的不足并進行了總結。重點研究木馬行為特征分析技術及擴展攻擊樹模型在木馬檢測中的應用。提出了一種改進的基于擴展攻擊樹模型

4、的木馬檢測方法，通過分析對比靜態(tài)分析PE文件及基于沙箱的行為監(jiān)控技術的特點，采用靜態(tài)檢測和基于沙箱的動態(tài)檢測相結合的方法，實現(xiàn)了對木馬更高效、完整地的檢測。
　　本文的主要創(chuàng)新包括如下:
　　(1)基于行為特征分析技術，將擴展攻擊樹模型引入到木馬檢測中，通過擴展節(jié)點屬性信息對模型進行擴展，實現(xiàn)了更精確的匹配模型。
　　(2)提出了一種改進的基于擴展攻擊樹模型的木馬檢測方法，改進了危險指數(shù)算法及模型匹配算法。采用基于木馬