网络攻击之研究和检测(2)

　　虚拟机技术仍然与传统技术相结合，并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界，在一个阶段里面，极大地提高了已知攻击和未知攻击的检测水平，以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内，虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。 　　三、后门留置检测的常用技术
　　
　　1.对比检测法
　　检测后门时，重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时，为了不被用户轻易发现，往往会采取各种各样的隐藏措施，因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避，才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
　　2.文件防篡改法
　　文件防篡改法是指用户在打开新文件前，首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息，可以采用数字签名或者md5检验和的方式进行生成。
　　3.系统资源监测法
　　系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集，以及渗透攻击，木马程序必然会使用主机的一部分资源，因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
　　4.协议分析法
　　协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析，从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
　　
　　参考文献：
　　[1]张普兵，郭广猛，廖成君.Internet中的电子欺骗攻击及其防范[J].计算机应用，2001，21（1）：32-34.
　　[2]苏一丹，李桂.基于DFA的大规模入侵建模方法研究[J].计算机工程与应用，2003，39（28）.[3]蒋总礼，姜守旭.形式语言与自动机理论[M].北京：清华大学出版社，2003.