恶意代码检测与遏制技术分析-analysis of malicious code detection and containment technology.docxVIP

下载本文档

6
0
约6.8万字
约 96页
2018-05-29 发布于上海
举报
版权申诉

恶意代码检测与遏制技术分析-analysis of malicious code detection and containment technology.docx

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

恶意代码检测与遏制技术分析-analysis of malicious code detection and containment technology

摘要摘要自从上世纪80年代Morris蠕虫出现以来，计算机安全已成为学术界和业界的热门领域之一。无论作为攻击还是防御，恶意代码都是该领域发展迅速的一个分支。网络的迅速发展与软硬件的同构化降低了攻击难度，作为计算机攻击的主要形式之一，恶意代码给互联网和用户带来了严重威胁，造成了巨大损失，使得安全愈来愈受人们重视，但也面临前诸多挑战。然而当前恶意代码的检测手段相对单一、缺乏深度，难以检测遏制层出不穷和经过复杂变形的攻击，高误报率和漏报率严重制约了检测系统的广泛使用，同时传统防御体系难以应对大规模爆发的攻击。主机型恶意代码以木马为典型代表，以窃取用户敏感信息为目的，为目前所占比例最高的恶意代码；蠕虫是网络型恶意代码的代表，具有分布式特点、威胁大，易引起后续攻击，因此它们都值得研究和关注。本文综述了恶意代码相关原理、关键技术和检测方法，以特洛伊木马、病毒和蠕虫为研究背景，从检测和遏制角度出发，取得了以下三个方面的成果：1．针对木马/rootkit，研究并实现了基于虚拟环境的行为分析检测系统。行为主要包括影响操作系统的安全行为，并利用数据挖掘算法对未知程序的合法性进行判断。虚拟的行为采集环境大大减小了恶意代码给主机带来的破坏，对用户影响小。实验结果表明，该同类系统相比，我们的系统能较准确的检测出未知木马/rootkit。2．病毒的编写技术已经被蠕虫大量使用，经过高强度变形的蠕虫攻击越来越普遍。而作为目前对抗蠕虫的主要技术，人工方式为主的特征码提取耗时长、误报率高。本文研究设计了一种准确高效的蠕虫特征码提取技术，它能有效对抗变形攻击，并首次将此技术应用于病毒和木马。它采用变形引擎产生副本，无需多个原始样本，实验结果表明能在较短时间内提取出高质量的特征码，误报率、漏报率均较低，实验同时给出了它们的定量分析。3．为了快速遏制恶意代码的大规模爆发，提出一种新型分布式恶意代码检测响应框架。该框架融合了基于行为分析的异常检测和特征码的误用检测机制，且具有良好扩展性；因此它不仅能检测已知恶意代码，而且能检测未知恶意代码。设计并实现了其原型系统。该系统较大程度地减小了人工干预，能迅速、自动化地对恶意代码作出响应与遏制，是对遏制恶意代码大规模爆发的有益尝试。I摘要关键词：恶意代码，虚拟环境，行为分析，特征码，分布式IIABSTRACTABSTRACTComputersecurityhasbecomeamajorareainacademicandindustry,sincetheMorriswormbrokeoutin1980s.Malware,bothintermsofattackanddefense,isafastgrowingfield.OwingtoInternetaswellashomogeneityofsoftwareandhardware,peopleattachmoreimportancetosecurityissues.Asonemajorformofcomputerattacks,malwareposesgreatchallengestoInternetandusers,causinghugelosses.However,therearestilllotsofunsolvedproblems,becauseexistingdetectionapproachesisineffective,beingincapableofdealingwithdiverseandsophisticatedmorphingattacks.Falsepositivesandfalsenegativehavegreatlylimitedtheuseofdetectionsystems.Meanwhile,traditionaldefensearchitectureisweakagainstoutbreaking,large-scaleattacks.Trojanhorsesareatypicalclassofhost-basedmalwarethataimtostealsensitivedata,andtheyaccountforthelargestproportionofmalwareclasses;network-basedmalwareisrepresentedbyworms,whichpropagateinadistributedfashion,henceithasunforeseeablepotentialthreat,andmaygiverisetosubsequentattacks.Therefore,theybothdeservedeepresearchandattention.Thisthesissurveystheprinciples,key