基于主动方式的恶意代码检测技术研究

基于主动方式的恶意代码检测技术研究

ID:33508599

大小:803.29 KB

页数:55页

时间:2019-02-26

基于主动方式的恶意代码检测技术研究_第1页
基于主动方式的恶意代码检测技术研究_第2页
基于主动方式的恶意代码检测技术研究_第3页
基于主动方式的恶意代码检测技术研究_第4页
基于主动方式的恶意代码检测技术研究_第5页
资源描述:

《基于主动方式的恶意代码检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、哈尔滨工业大学工学硕士学位论文第1章绪论1.1课题背景随着国际互联网技术的飞速发展,各种各样的攻击手段也以惊人的速度增长。自从1988年莫里斯蠕虫爆发以来,恶意代码已经成为互联网上影响[1]最为广泛且最为严峻的安全威胁,不仅对单独受感染主机造成危害,同时对公共互联网的整体安全构成严重损害。为了应对恶意代码给互联网所带来的安全威胁,计算机应急响应部门、反病毒厂商和安全研究人员必须及时预警并及时获取恶意代码的样本,通过深入分析了解其传播和感染机理,然后[2]才能给出准确的监测特征码和适宜的处理措施。但目前恶意代码传播与攻击手段呈现复杂化、多样

2、化的趋势,网络安全新形势使得传统恶意代码检测手段失灵,网络安全面临许多新的威胁与挑战。国家计算机病毒应急处理中心《2008年恶意代码的发展趋势》称,近两年来,黑客和病毒制造者越来越狡猾,他们正改变以往的病毒编写方式,研究各种网络平台系统和网络应用的流程。他们比以往更加注重攻击策略与传播、入侵流程。在传播方面出现了新的传播方式,原有的恶意代码改变了传播方式,开始大量利用广泛应用的客户端如浏览器等进行传播,甚至出现[2]了如GoogleHacking这类利用搜索引擎进行传播的恶意代码。随之而来的也出现了大量利用客户端软件漏洞进行攻击的新手段,

3、如出现了利用客户端漏洞进行攻击的脚本病毒。目前这类利用网络下载或浏览等[3]方式进行传播的恶意代码成为恶意代码主流。这类恶意代码借助于客户端应用漏洞和被动触发方式感染目标系统,其中相当比例的恶意代码不具备主[3]动传播能力,而是借助于其它方法安装到目标系统。例如利用Web页面攻击客户端的方式,即使用户仅浏览一下网页,并未下载任何东西,也会因此受到严重的攻击,轻则系统被更改,重则硬盘被格式化或者安装了木马软件。利用IE、Email客户端等客户端软件进行传播的恶意代码大量泛滥给[4]WWW应用带来了很大的隐患。根据Google发布的数据,Go

4、ogle在对全球数以十亿计的网站中抽取的450万个网页的分析测试中发现,至少有45[5]万个页面含有恶意脚本等隐藏性恶意程序。利用Email进行传播的恶意代--1哈尔滨工业大学工学硕士学位论文码,如Klez,拥有数量庞大的mail主题和主体,据说高达120种组合,而[6]且很多具有极大的欺骗性。随着客户端应用的日益广泛,这些网络安全问题愈演愈烈。恶意代码变种速度出现越来越快,而且传播范围也随着客户端应用的广泛而覆盖更广。但传统的检测网络攻击和恶意代码的手段都是基于被动模式,如蜜罐等方式。这种被动接受攻击的方式无法发现利用客户端进行传播的或

5、尚未大规模传播的漏洞攻击和恶意代码,对于被动触发传播的恶意代码也束手无策,并不能够适应目前恶意代码变种的生产时间不断的缩[7]短,以及恶意代码爆发传播方式不断复杂的趋势。传统恶意代码检测系统,例如恶意代码捕获器中比较著名的代表如德国蜜网项目组开发的Nepenthes。它采用低交互式蜜罐技术思想,通过模拟存有漏洞的HTTP、FTP等网络服务,诱捕针对这些已知漏洞的恶意代码样[8]本。但传统的恶意代码检测系统单纯局限于使用蜜罐技术,通过模拟已知[3]漏洞吸引恶意代码,被动等待其入侵。由于蜜罐技术本身的视图有限,且不具备主动性,因此针对非主动传

6、播的恶意代码,传统检测系统无法有效地进行检测发现。同时,传统检测系统一般需要部署在公网网络出口,对部署环境的要求较高。由于传统的依靠被动方式检测的技术逐渐无法适应网络安全的需要,恶[9]意代码检测由被动检测转向主动检测。如何引入新的恶意代码检测方法,以有效提高恶意代码检测性能、拓宽可发现的恶意代码种类,改变基于被动的恶意代码检测是最具有本质性的,已成为国内外研究的热点,并将成为网络安全研究中的关键革新技术之一。1.2国内外研究概况基于主动检测技术的恶意代码检测已成为当前研究领域中的一个热点。目前国外一些顶尖公司和研究机构都在进行相关研究,

7、并开发了一些可以运行测试的系统,其应用领域涉及漏洞发现、蠕虫检测、危险网站标识等多个方面。迄今为止,国际上已有一些著名的研究机构和商业公司研制出了自己的应用系统,其中比较典型的有:1.微软的HoneyMonkey(蜜猴)系统文献[4]中提到,蜜猴通过自动化的Web巡逻实现对有害URL的主动访问,从而主动发现恶意代码。蜜猴系统使用了超过5000个初始的恶意URL网站列表,这些URL的获取是通过搜索引擎搜索hosts文件中的被阻断--2哈尔滨工业大学工学硕士学位论文URL列表来的。蜜猴测试指定的URL是否是恶意网站,是基于虚拟机与沙箱技术,检

8、测非预期执行的文件和对系统的修改。每个蜜猴是一个运行在虚拟机上的打着不同级别补丁的WindowsXP系统。最初是一个没有打任何补丁的蜜猴在网络上查找潜在的恶意站点。当某个站点被发现安装了恶意代

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。