利用Bloom Filter的木馬報文檢測系統(tǒng)設(shè)計與實現(xiàn).pdf

1、信息時代的到來，帶來了快捷的互聯(lián)網(wǎng)應(yīng)用，但是互聯(lián)網(wǎng)給予我們方便的同時，也帶來了各種網(wǎng)絡(luò)安全威脅。木馬，是這些威脅中導(dǎo)致信息竊取的重要因素之一，如何檢測木馬成為計算機安全研究的重點內(nèi)容。
　　目前的安全軟件，大都運行在單機環(huán)境下，難以對整個局域網(wǎng)提供有效的保護和監(jiān)管?，F(xiàn)有的木馬檢測系統(tǒng)，大都局限于對于通信端口的監(jiān)控，難以深入通信內(nèi)容，對于木馬檢測的準(zhǔn)確性難以保證。因此，需要有更加專業(yè)的網(wǎng)絡(luò)層面的木馬檢測系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)控。
　

2、　本文在此需求基礎(chǔ)上對木馬的原理和通信方式進行了研究，對現(xiàn)存的木馬檢測產(chǎn)品做出了分析，利用Bloom Filter算法設(shè)計并實現(xiàn)了木馬報文檢測系統(tǒng)。
　　文章前面分析了現(xiàn)有網(wǎng)絡(luò)環(huán)境下的各種報文捕獲機制，比較了基于BPF的傳統(tǒng)Libpcap、NAPI改進型Libpcap、PF_RING改進型Libpcap以及HPPCP報文捕獲技術(shù)。在分析木馬特征碼和行為的基礎(chǔ)上，制定一系列規(guī)則對報文進行分析及過濾，分析和過濾的規(guī)則是一系列八元組（源

3、IP、源端口、目的IP、目的端口、協(xié)議、報文長度、報文頻率、是否含有二進制字符）。對于發(fā)往IP白名單的報文采用Bloom Filter算法進行快速高效的過濾。接著對常用的模式匹配算法進行了分析比較，并根據(jù)實際情況，對BM算法進行了分析。
　　接著設(shè)計并實現(xiàn)了利用Bloom Filter的木馬報文檢測系統(tǒng)。介紹了系統(tǒng)的總體架構(gòu)以及報文捕獲、行為監(jiān)管、報文過濾、報文重組、內(nèi)容監(jiān)管、系統(tǒng)配置和通信控制等模塊。
　　完成實現(xiàn)后，對系