基于主动方式的恶意代码检测技术研究

基于主动方式的恶意代码检测技术研究

论文摘要

随着互联网的广泛应用,网络安全问题日益严峻,恶意代码已成为互联网最严重的安全威胁之一。当前恶意代码传播与攻击手段呈现复杂化、多样化的趋势。传播方面出现了新的传播方式,原有的木马等恶意代码改变了传播方式,开始大量利用广泛应用的客户端如浏览器等进行传播,甚至出现了P2P下载传播和Google Hacking这类利用搜索引擎的传播方式。随之而来出现了大量利用客户端软件漏洞进行攻击的新手段,如利用浏览器和Email客户端攻击。目前这类通过客户端应用进行传播的恶意代码已成为恶意代码主流,其中出现了不具备主动传播能力的恶意代码如网页夹带的脚本病毒等。蜜罐作为一种新兴的攻击诱骗技术,已在互联网安全威胁检测方向上得到了较为广泛的应用。但蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限。传统恶意代码检测系统如Nepenthes,单纯使用蜜罐技术吸引恶意代码,被动等待其入侵。对于借助于客户端应用漏洞或被动触发方式感染目标系统的恶意代码,传统检测系统无法有效地进行检测预警。由于传统的被动检测技术逐渐无法适应网络安全需要,恶意代码检测由被动转向主动。本文对恶意代码的传播原理和运行特性进行了深入分析,并在此基础上提出了基于主动检测的恶意代码检测模型。该模型与传统恶意代码检测模型根本区别在于添加了对夹带恶意代码的可疑目标进行主动发现与主动访问,主动诱使恶意代码攻击,进而实现检测捕获。本文对基于IE浏览器传播的恶意代码的传播过程和运行模式进行了深入分析,提出以IE浏览器为客户端软件对可疑数据源进行主动访问并采用基于监测点集合的行为监测方式进行监测。以上述理论为基础,结合爬虫与高交互式蜜罐,本文设计实现了面向IE浏览器的恶意代码检测系统Decoy。除具有传统检测系统的检测发现能力外,Decoy还通过主动访问夹带恶意代码的目标,触发恶意代码,诱导恶意代码实施攻击,利用行为特征监控进行实时检测,从而使恶意代码检测更具主动性、全面性和高效性。与传统检测系统一般需要部署在公网相比,Decoy仅需部署于局域网即可获得较高的捕获效率,具有较强的可用性。各项实验结果满足设计要求,实验数据验证了理论分析的正确性和实用性。最后本文对研究取得的成绩和存在的问题进行了分析和总结,针对一些未能实现的问题,提出了解决思路,提供了可供深入研究的几个方向。

论文目录

  • 摘要
  • Abstract
  • 第1章 绪论
  • 1.1 课题背景
  • 1.2 国内外研究概况
  • 1.3 本文主要研究内容
  • 1.4 本文的组织
  • 第2章 恶意代码检测相关技术研究
  • 2.1 恶意代码概述
  • 2.1.1 恶意代码定义
  • 2.1.2 恶意代码类型
  • 2.1.3 恶意代码行为模式分析
  • 2.1.4 恶意代码传播机制
  • 2.2 恶意代码检测技术
  • 2.3 基于行为监测的恶意代码检测技术
  • 2.3.1 基于行为监测的恶意代码检测技术基本思想和体系框架
  • 2.3.2 基于语义网络表示的检测方法
  • 2.3.3 基于API 序列分析的未知恶意代码检测方法
  • 2.3.4 蜜罐技术概述
  • 2.4 本章小结
  • 第3章 恶意代码主动检测模型及关键机制
  • 3.1 主动检测相关技术
  • 3.1.1 Nepenthes 恶意代码检测系统
  • 3.1.2 客户端蜜罐技术
  • 3.1.3 主动引擎
  • 3.2 主动检测模型
  • 3.3 主动检测模型关键机制
  • 3.3.1 数据源的来源选择和集合扩充机制
  • 3.3.2 监测点集合确定机制
  • 3.3.3 恶意代码行为检测规则
  • 3.4 本章小结
  • 第4章 面向IE 的恶意代码主动检测系统设计实现
  • 4.1 系统总体设计
  • 4.1.1 设计原理
  • 4.1.2 Decoy 主动访问引擎
  • 4.1.3 IE 主动访问
  • 4.1.4 监测和恶意代码样本提取
  • 4.2 系统功能模块实现
  • 4.2.1 爬虫的设计
  • 4.2.2 可疑代码扫描及特征检测
  • 4.2.3 主动访问模块
  • 4.2.4 监测模块
  • 4.2.5 文件系统监测模块
  • 4.2.6 通信检测模块
  • 4.2.7 进程检测模块
  • 4.2.8 注册表检测模块
  • 4.2.9 系统行为过滤和系统恢复
  • 4.3 实验设计与结果分析
  • 4.3.1 测试环境
  • 4.3.2 实验过程
  • 4.3.3 实验结果比较
  • 4.3.4 实验结果分析
  • 4.4 本章小结
  • 结论
  • 参考文献
  • 攻读学位期间发表的学术论文
  • 致谢
  • 相关论文文献

    • [1].代码对比与动态规划[J]. 电脑编程技巧与维护 2017(03)
    • [2].什么样的代码才是好代码[J]. 计算机与网络 2017(06)
    • [3].安全通论(14)——病毒式恶意代码的宏观行为分析[J]. 成都信息工程大学学报 2017(01)
    • [4].恶意代码同源判定技术综述[J]. 通信技术 2017(07)
    • [5].基于方法的克隆代码检测[J]. 信息与电脑(理论版) 2017(13)
    • [6].市代码[J]. 山西教育(招考) 2020(03)
    • [7].有关信息代码[J]. 山西教育(招考) 2019(02)
    • [8].关于机场的冷知识[J]. 意林 2019(22)
    • [9].市代码[J]. 山西教育(招考) 2016(08)
    • [10].利用代码重构改善软件设计[J]. 信息记录材料 2020(09)
    • [11].代码自动生成及代码上下文分析研究综述[J]. 数据通信 2020(02)
    • [12].智能代码补全研究综述[J]. 软件学报 2020(05)
    • [13].基于文本分类技术的恶意代码检测工具应用[J]. 科技经济导刊 2020(27)
    • [14].克隆代码映射的方法与应用[J]. 计算机工程与应用 2017(06)
    • [15].基于增强描述的代码搜索方法[J]. 软件学报 2017(06)
    • [16].银行代码安全审计工作探索与实践[J]. 网络安全技术与应用 2017(08)
    • [17].重视统一信用代码的应用[J]. 浙江经济 2017(19)
    • [18].代码依恋检测与重构研究[J]. 电子科技 2016(11)
    • [19].有关信息代码[J]. 山西教育(招考) 2018(03)
    • [20].有关信息代码[J]. 山西教育(招考) 2016(Z1)
    • [21].有关信息代码[J]. 山西教育(招考) 2011(08)
    • [22].基于模糊识别恶意代码检测技术的研究[J]. 微电子学与计算机 2014(06)
    • [23].恶意代码加壳脱壳技术[J]. 辽宁警专学报 2014(05)
    • [24].代码复查的要点探讨[J]. 技术与市场 2013(06)
    • [25].代码规制:构建安全文明网络的必由之路[J]. 保密科学技术 2013(07)
    • [26].消除隔阂,提升效率——MATHWORKS推出基于MATLAB生成HDL代码的产品[J]. 世界电子元器件 2012(05)
    • [27].C~#托管代码调用非托管代码参数传递的实现方法[J]. 软件导刊 2011(01)
    • [28].恶意代码与信息安全[J]. 硅谷 2011(18)
    • [29].代码证书遗失声明[J]. 大众标准化 2010(12)
    • [30].药品代码制度疑云[J]. 中国药店 2008(07)

    标签:;  ;  ;  ;  

    基于主动方式的恶意代码检测技术研究
    下载Doc文档

    猜你喜欢