返回
基于网络的恶意代码检测技术

基于网络的恶意代码检测技术

ID:11729627

大小:254.00 KB

页数:6页

时间:2018-07-13

基于网络的恶意代码检测技术_第1页
基于网络的恶意代码检测技术_第2页
基于网络的恶意代码检测技术_第3页
基于网络的恶意代码检测技术_第4页
基于网络的恶意代码检测技术_第5页
资源描述:

《基于网络的恶意代码检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第11期吴冰等:基于网络的恶意代码检测技术·91·基于网络的恶意代码检测技术吴冰1,云晓春2,高琪1(1.哈尔滨工业大学计算机网络与信息安全技术研究中心,黑龙江哈尔滨150001;2.中国科学院计算技术研究所,北京100080)摘 要:通过对传统分布式IDS的分析,指出基于详细协议分析的多引擎小规则集的系统结构用于网络级恶意代码检测的缺陷,设计了单引擎大特征集的网络级恶意代码检测模型及恶意代码特征描述语言;分析了网络数据流的特征,通过对特征串进行优化的方法,避免特征串后缀与数据流的频繁碰撞及链表分支不平衡的问题,大幅度提高了WM算法检测网络恶意代码的效

2、率。关键词:计算机网络;恶意代码检测;检测模型;模式集优化中图分类号:TN393.08文献标识码:B文章编号:1000-436X(2007)11-0087-05Network-basedmalcodedetectiontechnologyWUBing1,YUNXiao-chun2,GAOQi1(1.ResearchCenterofComputerNetworkandInformationSecurityTechnology,HarbinInstituteofTechnology,Harbin150001,China;2.InstituteofCompu

3、tingTechnology,ChineseAcademyofSciences,Beijing100080,China)Abstract:FollowingtheanalysisfortraditionaldistributedIDS,disadvantagesthatapplyingstructureofmultipleengineandsmallrulessettodetectnetwork-levelmalcodewerepointedout,whichisbasedondetailedprotocoldecoding.Detectionmode

4、landanti-malcodemarkuplanguageofnetwork-levelmalcodeweredesignedforsingleengineandbigrulesset.Thecharacteristicsofnetworkdataflowwereanalyzed.Byoptimizationofpatterns,frequentcollisionsbetweensuffixwithdataflowandunbalancedbranchedofchainedlistwereavoided.TheefficiencybyusingWMa

5、lgorithmtodetectmalcodeonnetworklevelcanberemarkablyincreased.Keywords:computernetwork;malcodedetection;detectionmodel;pattern-setoptimization第11期吴冰等:基于网络的恶意代码检测技术·91·1引言收稿日期:2007-06-16;修回日期:2007-10-20根据Gilder定律,互联网带宽以每6个月翻一番的速度持续提高[1]。与此同时,互联网上传播的恶意代码也与日俱增,每日新增加的恶意代码样本都在上百个,截至2

6、007年6月底,Kaspersky反病毒软件的病毒特征库已经达到35万余条(根据Kasperskyv6.0.0.307病毒库2007年6月29日统计)。实践证明,由于网络带宽的增长,单纯采用传统的网络安全技术或传统反病毒技术都无法对网络恶意代码的检测提供有效支持。第11期吴冰等:基于网络的恶意代码检测技术·91·目前大型的骨干网恶意代码检测往往与IDS技术融合,一般采用分布式IDS技术进行部署。分布式IDS系统根据已定义的模式,对基本攻击事件、特征事件(恶意代码事件)、异常事件进行匹配检测,并生成事件日志供分析决策。由于安全事件特征数量限制,IDS系统

7、除了对基本攻击事件、流量异常事件进行检测外,只能对有限数量的特定的网络恶意代码进行检测,因此基于分布式IDS技术的恶意代码检测系统无法对网络上的恶意代码疫情进行全面的分析和统计;而传统的反病毒技术是文件级的检测技术,骨干网上并发数据流每秒数以百万计,因此以文件还原为前提的恶意代码检测技术将会导致巨大的计算存储开销[2]。本文针对骨干网恶意代码检测所带来的挑战性问题,研究网络级恶意代码检测模型,运用特征码优化的思想实现高性能的网络级恶意代码检测引擎。2网络级恶意代码检测模型2.1传统网络IDS模型检测网络恶意代码的弊端传统IDS技术的本质是面向协议分析的

8、,匹配速度一直是IDS技术需要解决的核心瓶颈问题。由于检测算法的时间复杂度与特征串的条数呈正相

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。