论文摘要
近年来,Internet的发展势不可挡,新的网络应用日新月异,层出不穷,对传统的互联网业务造成巨大冲击。很多曾经耳熟能详的服务已经悄然销声匿迹。但是电子邮件凭借其庞大的用户群体,便捷的操作形式,稳定的服务质量等优势,非但没有消亡反而以崭新的姿态生机勃勃地出现在互联网的舞台上。电子邮件如此广泛的应用也为不法分子提供了平台,通过电子邮件传播恶意代码,损毁用户文件,窃取用户资料,进而间接造成用户隐私泄露,财产损失的案件近年来持续增加。分析发现,恶意代码主要通过邮件的附件传播,于是开发面向邮件附件的恶意代码检测系统显得愈发重要。本文首先通过对电子邮件通讯模型的分析,针对恶意代码以邮件附件为途径的传播手段,建立邮件还原系统的基础模型。之后通过对SMTP,POP3,IMAP三种应用层邮件协议工作流程,报文格式及命令细则的分析,建立以RFC822报文分析模块为基础的还原机模型。还原机提取邮件发件人、收件人、发送日期、邮件主题等必要信息,并登记日志。其后,分析了Libnids的工作原理,建立了从链路层到传输层的还原机模型。本文应用一种以软件结构指纹为特征的恶意代码静态检测技术。由于软件可以用网络结构表示,本文将软件的程序调用图映射为图像(Image),利用基于内容的图像检索技术(CBIR),提取图像的颜色矩与形状不变矩作为软件的结构指纹。本文在原算法基础上将RGB颜色空间改为HSV颜色空间,从一致性、完整性、紧凑性、自然性等方面改进了颜色矩的性能。并对形状不变矩的平移、伸缩、旋转不变性给出证明。之后通过实验证明结构指纹具有良好的唯一性、不变性及敏感性,并分析了影响结构指纹误判的两大因素。最后,本文给出了面向邮件附件的恶意代码检测系统的设计及实现细节以及测试结果。