论文摘要
统计数据表明,恶意代码已经成为目前计算机系统面临的主要威胁之一。随着网络行为同社会行为联系的进一步密切,恶意代码的编写目的从最初的技术炫耀转向获得经济或政治利益,攻击的针对性进一步明确,给信息系统带来更大的安全隐患。现有的恶意代码检测产品大多以特征码匹配为技术基础,查杀恶意代码的有效性取决于病毒库的更新速度,对于未知恶意代码的检测效果欠佳。并且,随着互连网的普及和新技术的不断应用,恶意代码的变种速度不断加快,杀毒软件病毒库的升级速度难以适应这种快速的变化。论文针对恶意代码发展趋势以及目前检测技术的不足,在充分总结与分析恶意代码的共性及其工作机理的基础上,提出了一种基于可信基的恶意代码检测方案。该方案主要从恶意代码入侵后会改变原有系统的完整性角度出发,以恶意代码经常利用并可能引起改变的系统状态、配置建立检测的基准数据库,称之为可信基,并论证了在计算机系统未被恶意代码攻击的前提下建立可信基库的可行性。另外,在对恶意代码理论分析与实验的基础之上,从进程隐藏、通信连接、自动加载、文件名称相似度等几个方面建立了可疑文件恶意权重表。通过将被检测计算机系统状态与对应可信数据进行比较分析,再结合可疑数据恶意权重表,最后得出检测结论。依照本文提出的检测方案,实现了一个基于可信基的恶意代码诊断原型系统,能够通过进程、进程调用的模块、系统服务描述符表、系统加载的驱动对恶意代码进行检测。利用原型系统进行了实际的恶意代码入侵检测与模拟实验,实验结果表明,在Windows操作系统下,原型系统能够有效的检测出已知和未知的恶意代码,尤其在未知恶意代码检测方面,检测效果优于基于特征码的检测产品。本文对恶意代码工作机理以及共性的分析总结,为今后研究防御恶意代码的方法和技术提供了理论依据。提出的基于可信基的恶意代码检测方法,能够有效的对恶意代码进行检测,尤其是针对性较强、未进行广泛传播的恶意代码。若将其与现有的恶意代码检测产品结合使用,能够实现快速、有效的恶意代码检测目的。另外,可将本文研究的基于可信基的检测思想,进一步扩展应用到恶意代码的防御上,形成具有检测和阻断双重功能的系统,从而能够更好的保护计算机系统不被恶意代码攻击。