上QQ阅读APP看书，第一时间看更新

前言

2011年以来，面向我国信息网络的网站入侵、网络欺诈等恶意网络行为依然呈现上升趋势，特别是移动领域的恶意行为大幅增加。微软、谷歌、思科、苹果、雅虎等科技公司的产品已深入国内各部门、企事业单位，并培养了数以亿计的忠实用户，用户在使用过程中信息很容易被监听、过滤，这使我国的信息安全几乎毫无保障可言。

“棱镜”事件再次凸显了我国信息系统安全的整体态势，同时，也暴露出现有的信息安全等级测评以及管理制度的真空。倘若斯诺登所言非虚，不知又将置“我们多年的信息安全等级测评工作以及网络安全防范体系”于何地？因此，“棱镜”事件必然为我国现有的信息安全管理体系敲响警钟，“合理完备、客观周密”的信息流动与管控立法将为期不远。

《管子》中有句话叫“墙有耳，伏寇在侧”。针对涉密信息管控领域，为防止涉及国家秘密的计算机及信息系统受到来自互联网等公共信息网络的攻击，确保国家秘密信息的安全，党和国家多次强调要求涉密计算机及信息系统要与互联网等公共信息网实行物理隔离。从单纯的技术防御体系来看，物理隔离技术解决了数据边界的安全问题，将外部环境与内部涉密信息隔绝开，且必需的数据交换均处于管控范围之内。但实质上，物理隔离的设计者和建设者往往忽略了信息流动的必然和多源特点，面对信息的产生、加工、处理、存储以及传播、销毁等全生命周期，依靠单纯的物理隔离是无法完全实现的，必须对信息流动的管理进行加固。

面对如此紧迫的网络安全问题和涉密信息系统安全瓶颈，我们的信息安全研究团队开展了积极的研究工作。在确定研究方向的时候，主要考虑以下3个问题：1）必须是一个关系信息系统安全运行的关键命题；2）必须是一个实际的科研问题，不那么虚无缥缈；3）必须是一个交叉领域问题，不需要过于热门。在这样的背景下，结合社会需求和知识积累，产生了科研方向为木马防御与检测技术的研究。

2008年9月，团队正式开始进入特种木马的研究阶段，当时能够检索到的国内外核心期刊论文和会议论文不过百篇，这对于一个研究方向或者领域来说，数目可谓寥寥无几。但是，我坚信这个领域不会太冷，而且一定会逐渐“春暖花开”。事实证明，当时的想法是对的。当然这是后话，在当时我理清了思绪，耐心阅读了所有可检索到的论文，并进行了适当扩展性阅读。值得一提的是，在此阶段，项目组完成了军工领域特种木马防御与检测技术研究报告。

完成基础研究报告后发现：特种木马的种类繁多，所依托的理论、模型千差万别，如何进行比较和性能分析？不知彼长，如何确定己短？衡量的标准是什么，指标体系如何确定？为此，决定从性能评测入手，分为恶意代码、特种木马和常规病毒3类进行展开；同时，在此研究阶段，项目组进一步细分，逐渐形成了系统环境检测、进程系统、文件系统、注册表系统、恶意代码以及网络系统6个研究小组。

我们的研究思想是：以涉密信息系统为研究对象，以保障信息系统内数据安全为研究内容，从木马攻击以及检测防护的实用角度出发，深入研究可满足涉密信息系统内数据安全可控、广泛应用的信息安全技术。首先，结合信息系统的实际特点，分析和阐述病毒、木马的基本原理，并提出基本的木马防范与检测措施。在此基础上，提出整体研究框架和数据库设计方案，说明检测与清除的基本流程。其次，从注册表、文件系统、网络系统和进程系统4个方面，利用驱动过滤技术提出实现和设计思路。同时，基于动态检测与静态匹配相结合的思路，提出不同类型木马特征库的设计与实现思路。最后，本书对摆渡木马进行了重点检测，特别是U盘、光盘等摆渡攻击的实现原理进行了介绍。

从特种木马的静态特征和行为特征出发，比较全面、系统地论述了木马检测与清除的关键理论和技术问题，主要内容包括木马的基本特征、木马攻击的基本原理、静态木马检测技术、动态行为分析与匹配技术、特征木马清除技术等。

全书共8章，每章都包含了作者近年的科研成果。第1章简要介绍病毒、木马的基本原理与本质特征。第2章提出木马检测与防护系统的整体框架。从木马静态与动态行为特征的研究入手，介绍了针对信息系统的各种攻击方式及防护技术，最后重点介绍了基于静态特征的木马检测方法。第3章针对木马行为特征的主要过程，提出了木马检测与清除的关键性技术，即逻辑过程分析、文件系统扫描与清除、文件隔离与清除、恶意文档检测与清除。第4章针对木马渗透攻击的主要环节，提出了木马防护的主要手段，利用消息拦截与驱动过滤方法，提出了动态防御的整体策略，包括注册表驱动过滤、文件系统驱动过滤、网络协议驱动过滤以及进程驱动过滤。第5章基于第3章和第4章的研究成果，重点研究了木马特征库的设计与加载方式，融入了木马静态特征、动态行为特征以及自定义的关键特征的识别问题。第6章介绍特种木马防护模块设计。第7章说明特种木马特征库设计。第8章是系统演示和总结部分。在本书的最后，作者着重介绍了当前比较流行的特征木马的行为特征，以及主要的防护与检测手段，李佳楠同学对光盘刻录以及移动存储硬盘的特种木马与防护给出了详细的描述。

本书是哈尔滨工程大学信息安全研究团队全体师生的研究成果结晶。本书是国家自然科学基金、教育部高等学校博士点基金、黑龙江省政府博士后资助项目、国家军工保密资格审查认证中心合作项目的成果总结。在写作过程中，博士生寇亮，硕士生苗施亮、谭凯、于成、胡俊夫、李春晓等，本科生李佳楠、李博权等都付出了辛苦工作。特别感谢哈尔滨工程大学张国印教授、印桂生教授、武俊鹏教授、高迪老师的帮助，以及对本书及相关研究工作的支持和鼓励。

希望本书能为推进我国信息系统数据安全的研究尽绵薄之力。限于作者水平，书中定有疏漏和不当之处，希望大家批评指正和交流，欢迎通过电子邮件（sunjianguo@hrbeu.edu.cn）联系。