惡意代碼檢測與遏制技術(shù)研究.pdf

1、自從上世紀80年代Morris蠕蟲出現(xiàn)以來，計算機安全已成為學(xué)術(shù)界和業(yè)界的熱門領(lǐng)域之一。無論作為攻擊還是防御，惡意代碼都是該領(lǐng)域發(fā)展迅速的一個分支。網(wǎng)絡(luò)的迅速發(fā)展與軟硬件的同構(gòu)化降低了攻擊難度，作為計算機攻擊的主要形式之一，惡意代碼給互聯(lián)網(wǎng)和用戶帶來了嚴重威脅，造成了巨大損失，使得安全愈來愈受人們重視，但也面臨前諸多挑戰(zhàn)。然而當(dāng)前惡意代碼的檢測手段相對單一、缺乏深度，難以檢測遏制層出不窮和經(jīng)過復(fù)雜變形的攻擊，高誤報率和漏報率嚴重制約了檢

2、測系統(tǒng)的廣泛使用，同時傳統(tǒng)防御體系難以應(yīng)對大規(guī)模爆發(fā)的攻擊。主機型惡意代碼以木馬為典型代表，以竊取用戶敏感信息為目的，為目前所占比例最高的惡意代碼；蠕蟲是網(wǎng)絡(luò)型惡意代碼的代表，具有分布式特點、威脅大，易引起后續(xù)攻擊，因此它們都值得研究和關(guān)注。
　　本文綜述了惡意代碼相關(guān)原理、關(guān)鍵技術(shù)和檢測方法，以特洛伊木馬、病毒和蠕蟲為研究背景，從檢測和遏制角度出發(fā)，取得了以下三個方面的成果：
　　1．針對木馬/rootkit，研究并實現(xiàn)了

3、基于虛擬環(huán)境的行為分析檢測系統(tǒng)。行為主要包括影響操作系統(tǒng)的安全行為，并利用數(shù)據(jù)挖掘算法對未知程序的合法性進行判斷。虛擬的行為采集環(huán)境大大減小了惡意代碼給主機帶來的破壞，對用戶影響小。實驗結(jié)果表明，該同類系統(tǒng)相比，我們的系統(tǒng)能較準確的檢測出未知木馬/rootkit。
　　2．病毒的編寫技術(shù)已經(jīng)被蠕蟲大量使用，經(jīng)過高強度變形的蠕蟲攻擊越來越普遍。而作為目前對抗蠕蟲的主要技術(shù)，人工方式為主的特征碼提取耗時長、誤報率高。本文研究設(shè)計了一種

4、準確高效的蠕蟲特征碼提取技術(shù)，它能有效對抗變形攻擊，并首次將此技術(shù)應(yīng)用于病毒和木馬。它采用變形引擎產(chǎn)生副本，無需多個原始樣本，實驗結(jié)果表明能在較短時間內(nèi)提取出高質(zhì)量的特征碼，誤報率、漏報率均較低，實驗同時給出了它們的定量分析。
　　3．為了快速遏制惡意代碼的大規(guī)模爆發(fā)，提出一種新型分布式惡意代碼檢測響應(yīng)框架。該框架融合了基于行為分析的異常檢測和特征碼的誤用檢測機制，且具有良好擴展性；因此它不僅能檢測已知惡意代碼，而且能檢測未知惡意