恶意软件检测与析关键技术研究.pdfVIP

摘螫 恶意软件检测与分析关键技术研究 摘要 恶意软件是未经授权安装到计算机上的软件，通常包括病毒、木马、僵尸网 络、拒绝服务攻击DoS、密码窃取、Word或Excel宏病毒、引导区病毒、脚本病 毒和其它间谍软件等。其严重危害计算机安全和用户隐私，国内外知名杀毒软件 公司如金山毒霸、瑞星杀毒、360安全卫士、江民杀毒卡巴斯基和诺顿均不断更 新恶意软件检测数据库防范攻击，强化防御恶意软件自我保护功能。但是恶意软 件依然可以逃避杀毒软件检测，危害计算机安全；若恶意软件入侵到电力系统， 将有可能破坏电力控制系统，引起严重的电力安全事故。 针对恶意软件当前状况，本文进行了三个方面的研究：①恶意软件入侵检测 算法研究；②恶意软件逆向分析关键技术研究；③电力系统网络环境中恶意软 件防御方法研究。研究内容如下说明： 恶意软件入侵检测算法研究 (1)根据KDD99数据库中的恶意攻击特征，用工作流的方法定义攻击序 Cup 列，并把其数据通过前向型神经网络¨I|练，最终试验结果表明，该方法 能对不同类型的攻击进行分类，具有识别未知类型攻击的能力。 (2)利用遗传算法对KDDCup99数据库中拒绝服务攻击DoS数据进行优化， 定义适度函数、识别规则，最终试验结果表明，该方法可以识别拒绝服 务攻击DoS的不同攻击类型。 (3)利用混合模糊集和前向型神经网络的方法，对KDDCup99中的拒绝服 务攻击DoS记录进行识别。先采用模糊集转换DoS攻击记录中字符串类 型数掘，定义规则进行数据的预处理。然后数据经过神经网络训练后， 可以较好的区分DoS攻击类型。 (4)采用混合集合和前向型神经网络方法，对恶意软件行为检测算法进行识 别。从恶意软件行为检测数据库中选择表的关键键，定义集合和关系类 型，采用树的带权路径长度作为检测算法的评估值，与表中的其它数据 一起经过神经网络训练。试验结果表明，该方法能够初步区分恶意软件 行为检测算法。 通过上述对截获的网络数据或行为数据进行分析，提出基于网络的恶意攻击 数据的分类方法和恶意软件检测算法的区分算法。 摘要 恶意软件逆向分析关键技术研究 (1)在实地址模式和保护模式下采用Windbg调试分析内存中的IDT表和变 量，分析了Rootkit木马采用中断描述表(IDT)钩子的过程，并给出检 测该类型Rootkit木马方法。 (2)采用逆向分析方法，分析病毒的汇编代码；利用IDA工具分析网络恶意 木马机器狗的功能特征：利用AwardBIOS工具分析BIOS木马程序的功 能，并给出检测网络恶意软件方法和免疫措施。 (3)研究木马反API钩子监控、进程隐藏、服务隐藏和端口隐藏的方法，分 析木马加壳反检测技术手段，木马反跟踪调试技术。 (4)通过主动防御分析引擎模块和木马检测生成规则，绘制主动防御生成 图。利用该方法，采用有针对性的分析和判断，对逃避多种杀毒软件主 动防御功能的木马进行测试，实验结果表明该方法能够查找出不被杀毒 软件检测的Rootkit木马程序。 通过上述对恶意软件本身技术特点进行的逆向分析，提出基于本机的过杀毒 软件恶意软件检测方法。 电力系统网络环境中恶意软件防御方法研究 (1)分析了我国电力系统的安全防御总体逻辑结构，研究了电力系统安全装 置的技术特征，利用电力系统的专用网络隔离和安全设备，构建了电力 系统网络安全的真实的试验环境。 (2)分析了电力系统安全防御结构可能存在的攻击风险。提出了电力系统防 御恶意软件入侵的措施和检测恶意软件的技术手段。 通过上述研究，构建的真实的电力网络安全试验环境平台，有利于在该平台 上检测电力系统防御恶意软件入侵的方法和检测手段。 关键词：恶意软件；电力安全；入侵检测；行为检测；DoS：KDDcup