随着计算机技术和网络技术的飞速发展,针对计算机网络的各种攻击愈演愈烈,网络安全问题显得尤为突出。每年都有大量计算机受到木马、病毒等恶意代码的入侵,造成严重的经济损失。其中木马攻击以其隐蔽性强、攻击范围广、危害大等特点成为最常见的网络攻击技术之一,对网络信息安全构成严重威胁。目前主流的木马检测方法主要使用特征码技术、实时监控技术和启发式虚拟机技术。而行为分析技术可以检测特征码未知的木马、病毒等恶意程序,具有主动防御的特点,是当前反木马和反病毒等研究领域中的一个热点。它不同于传统基于特征码的静态扫描技术,而是通过分析未知程序运行时表现出来的动态行为特征,判别其是否为恶意程序。由于存在漏报率和误报率过高、应用效率过低等缺点,至今未能得到大范围的应用,需要进一步研究。准确分析归纳出木马的行为特征是行为分析技术应用于反木马领域的前提。实验中共收集了226个木马样本,参阅了Symantec和安天实验室等权威安全厂商关于木马技术细节的详细分析,通过实验验证了木马的行为特征,并结合相关技术文献,分析归纳了木马服务器在植入、安装、运行和通信等阶段的行为特征。文章介绍了木马行为分析的原理及其优缺点,并深入探讨了木马行为分析的实现技术。决策树分类算法根据样本的多个属性的取值对样本进行分类,可以实现对未知类别样本的分类。在木马行为分析中可以利用决策树分类算法对未知程序的行为特征进行分析,用于判断其是否为木马。本文选用C4.5算法,选择具有较高信息增益率的属性作为分裂属性,构造决策树模型。本文讨论了决策树分类算法在木马行为分析中的应用,通过对未知程序的行为特征进行分类来构造决策树模型,并分析其误报率和漏报率,验证该算法的应用效果。实验中共收集了226个木马样本和230个合法程序,通过计算分析,提取出能够有效区分两者的7个行为特征进行构造决策树模型。根据实验得出的木马行为特征数量统计分析,选择其中出现频率较高的前六项作为分裂属性,并且增加了“呈现可视化界面”这一合法程序区别于木马的典型行为特征作为分裂属性。最后,在木马行为特征分析和构建决策树模型的基础上,本文提出一种新型的基于决策树算法的反木马策略,并实现了一个初步原型。该策略利用API HOOK技术,检测未知程序的API调用情况,结合基于决策树分类算法的木马识别规则知识库,自动判定未知程序是否为木马。该策略具体实现时借助Detours工具库来完成DLL注射和API拦截。