面向邮件附件的恶意代码检测系统-计算机科学与技术专业毕业论文.docxVIP

Classified Index: TP309.5 U.D.C: 004.9 Dissertation for the Master Degree in Engineering A MALICIOUS CODE ANALYSIS SYSTEM FOR E-MAIL ATTACHMENTS Candidate： Renzhuoran Supervisor： Prof. Hongli Zhang Academic Degree Applied for： Master of Engineering Specialty： Computer Science and Technology Affiliation： School of Computer Science and Technology Date of Defence： June, 2011 Degree-Conferring-Institution： Harbin Institute of Technology 哈尔 哈尔滨工业大学工学硕士论文 - -I- 摘 要 近年来，Internet 的发展势不可挡，新的网络应用日新月异，层出不穷，对传统 的互联网业务造成巨大冲击。很多曾经耳熟能详的服务已经悄然销声匿迹。但是电 子邮件凭借其庞大的用户群体，便捷的操作形式，稳定的服务质量等优势，非但没 有消亡反而以崭新的姿态生机勃勃地出现在互联网的舞台上。 电子邮件如此广泛的应用也为不法分子提供了平台，通过电子邮件传播恶意代 码，损毁用户文件，窃取用户资料，进而间接造成用户隐私泄露，财产损失的案件 近年来持续增加。分析发现，恶意代码主要通过邮件的附件传播，于是开发面向邮 件附件的恶意代码检测系统显得愈发重要。 本文首先通过对电子邮件通讯模型的分析，针对恶意代码以邮件附件为途径的 传播手段，建立邮件还原系统的基础模型。之后通过对 SMTP，POP3，IMAP 三种 应用层邮件协议工作流程，报文格式及命令细则的分析，建立以 RFC822 报文分析 模块为基础的还原机模型。还原机提取邮件发件人、收件人、发送日期、邮件主题 等必要信息，并登记日志。其后，分析了 Libnids 的工作原理，建立了从链路层到 传输层的还原机模型。 本文应用一种以软件结构指纹为特征的恶意代码静态检测技术。由于软件可以 用网络结构表示，本文将软件的程序调用图映射为图像（Image）,利用基于内容的 图像检索技术（CBIR），提取图像的颜色矩与形状不变矩作为软件的结构指纹。本 文在原算法基础上将 RGB 颜色空间改为 HSV 颜色空间，从一致性、完整性、紧凑 性、自然性等方面改进了颜色矩的性能。并对形状不变矩的平移、伸缩、旋转不变 性给出证明。之后通过实验证明结构指纹具有良好的唯一性、不变性及敏感性，并 分析了影响结构指纹误判的两大因素。 最后，本文给出了面向邮件附件的恶意代码检测系统的设计及实现细节以及测 试结果。 关键词： 邮件还原；静态检测；结构指纹；颜色矩；形状不变矩 -I -II- Abstract In recent years, for the rapid development of Internet, new network applications come out everyday. The trends have seriously affected the traditional Internet business. Many well-known service have disappeared one by one.The E-mail,however, for the advantages as huge user groups, convenient form of operation, and stability of the service, not only did not die out but alive with a new attitude appeared in the Internet arena. E-mail provides a platform for the criminals. They spread malicious code through e- mail, so they can damage users files, steal users data. Through analysis, malicious code spreads using e-mail attachments, so the malicious code detection system for e-mail atta-chments is very necessa