15、网络安全相关技术研究：木马、函数调用解析与入侵检测

网络安全相关技术研究：木马、函数调用解析与入侵检测

在当今数字化时代，网络安全问题愈发严峻，涉及到多个方面的技术挑战。本文将深入探讨改进的内核木马架构模型、自动解析二进制可执行文件中的虚函数调用，以及基于数据挖掘的网络入侵检测系统等关键技术。

改进的内核木马架构模型

为了证明改进的内核木马架构模型的优越性，研究人员将其与基于传统木马模型的 BOES 和 Kang’s Rootkit Trojan 进行了对比。使用了两种先进的反 Rootkit 软件和 ZoneAlarm 来测试这三种木马的隐蔽性。结果如下表所示：
| 木马类型 | 跨视图反 Rootkit | 内存搜索反 Rootkit | ZoneAlarm 防火墙 |
| — | — | — | — |
| BOES | × | × | × |
| Kang’s Rootkit | × | × | × |
| 纯内核木马 | √ | √ | √ |

实验结果表明，改进的模型架构具有可行性，并且在隐蔽性方面优于传统的隐蔽架构模型。研究发现，木马的隐蔽性不应仅仅依赖于隐蔽模块，而应该是每个模块的共同任务。在改进的框架中，充分利用了内核 Rootkit，每个模块都完成了一些隐蔽工作，从而大大减少了隐蔽模块，增强了整个木马的隐蔽性。然而，由于 Windows 操作系统版本众多，每个版本的内核代码不尽相同，因此兼容性和稳定性是未来的研究方向。

自动解析二进制可执行文件中的虚函数调用

在程序分析中，调用图对于过程间程序分析方法起着重要作用。然而，由于大型程序中函数指针和虚函数的普遍存在，当前程序分析系统中使用的调用图通常不完整且不精确，尤其是在