第1章 绪论

1.1 背景及意义

随着互联网技术突飞猛进的发展，政府机构、企业工业、教育、国防等领域也逐步信息化，网络在为人们提供极大便利的同时，也带来了计算机信息网络的安全问题，病毒、木马的频发造成信息失窃、经济受损，给国家和网民都带来了巨大的损失。2011年2月16日，金山网络发布了《2010—2011年中国互联网安全研究报告》，报告显示2010年新出现了1 798万多种病毒木马。从图1.1可以看出，绝大部分的恶意程序仍然是近几年最主流的木马，其次是后门程序和传统病毒，由于软件的漏洞保护越来越受到重视，蠕虫所占比例是最低的。新增的木马主要分为绑架性木马和网购木马两类。如今的黑客攻击不再满足于使系统崩溃来展示自己的技术，而是转向窃取经济利益。随着电子商务行业的飞速发展，网上购物逐渐普及，黑客瞄准了这个有利可图的领域，制造出了很多专门针对网购人群的木马，给商家和用户造成了严重的损失。

木马是黑客用来盗取受控计算机中信息的一种程序，甚至可能远程控制对方的计算机，以达到盗取密码、机密资料等各种数据的目的。现在的木马不再像以前的盗号木马那样仅仅是为了盗取游戏币等虚拟财产，而是在目标系统中进行配置来为某些网站刷流量，或为某些商业软件做广告来获取费用。可见木马对网络信息安全已经构成了严重的威胁和危害，是造成个人、企业和国家信息泄露的主要途径之一。因此，国家保密局宣布把“对特种木马的检测和对互联网的保密检查”确定为目前保密科技研究和保密检查的重点关注方向。

图1.1 2010年恶意程序的组成比例

政府单位、军工部门、银行等重要机构为保证信息系统的安全，通常会将单位内网（涉密信息系统）与外网（互联网）进行严密的物理隔离，确保涉密网络不以任何途径与公共互联网相连。涉密信息系统需严格遵守“涉密不上网，上网不涉密”的保密管理规定。虽然物理隔离措施很大程度上阻止了来自外网的病毒、木马等恶意程序的直接攻击，但是并没有完全解决涉密计算机信息系统的安全问题，离线交换文件数据的工具（如U盘、光盘）给涉密信息系统带来了很多潜在的威胁。最典型的就是特种木马，它是一种专门通过离线摆渡窃取涉密信息和敏感数据的攻击手段。特种木马作为实施攻击的载体，可以通过移动存储介质与主机之间的数据存取动作完成攻击，首先植入涉密宿主机，然后逐步窃取整个涉密信息系统内的敏感数据，最后通过反向链接和数据中转向远程控制端发送数据，从而完成整个攻击过程。特种木马是一种为间谍人员专门定制的特种程序，对涉密内部网络具有很大的攻击性和破坏性，而且由于其专用性、针对性和未知性，使现有的杀毒软件和防火墙都面临着极大的考验，在这样的背景下主动防御技术的研究就显得势在必行^[1]。研究攻击者使用的工具、手段和攻击方式，及时发现未知病毒和木马，变传统的被动防御为积极的主动防御才是最有效的防护措施。

早在21世纪初期，在我国的涉密网络内就发现了摆渡木马；接着，在后续的安全保密检查过程中，相关人员在很多涉密网络内部都发现了不同类型的摆渡木马，这些木马的攻击意图和行为方式都具有差异性，且行为私密难以发现。很多国家安全部门、科研院所因遭受到摆渡木马的攻击，使大量涉及国家核心利益的信息被非法窃取，给国家的政治安全、社会稳定造成了非常严重的威胁，造成了巨大的经济损失。2011年以来，国家网络安全部门接到的来自各级政府、企事业单位受到摆渡攻击的通报数量直线上升，因被植入摆渡木马而造成的信息泄密事件时有发生，给国家安全带来了不可估量的严重后果。

特种木马作为实施攻击的重要载体，可以通过涉密移动介质间的数据存取完成攻击，植入涉密宿主机，并逐步掌握整个涉密网络内的相关数据，再通过反向链接和多次数据中转将数据向外发送，完成整个攻击过程。作为一种间谍人员定制的特种程序，特种木马对涉密信息系统具有极强的攻击性和危害性；一旦特种木马进入涉密信息系统，其对国家信息安全所产生的危害不可估量。