網(wǎng)絡(luò)惡意代碼監(jiān)測遏制關(guān)鍵技術(shù).pdf

1、隨著信息技術(shù)的普及，互聯(lián)網(wǎng)逐漸成為人類物質(zhì)社會(huì)的重要組成部分，應(yīng)用領(lǐng)域已轉(zhuǎn)向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)，人們對網(wǎng)絡(luò)的依賴越來越嚴(yán)重。但
　　是頻繁發(fā)生的網(wǎng)絡(luò)安全事件，對信息技術(shù)的應(yīng)用產(chǎn)生了很大的威脅。因此應(yīng)建立完備的網(wǎng)絡(luò)安全應(yīng)急體制，對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行監(jiān)測，及時(shí)制定網(wǎng)絡(luò)安全策略，保障網(wǎng)絡(luò)安全運(yùn)行。
　　本文在分析網(wǎng)絡(luò)惡意代碼傳播特性的基礎(chǔ)上，深入地研究了惡意代碼監(jiān)測遏制技術(shù)，主要研究工作如下：
　　本文提出了基于自相似性的異常

2、流量發(fā)現(xiàn)檢測技術(shù)。運(yùn)用統(tǒng)計(jì)學(xué)方法建立了大規(guī)模網(wǎng)絡(luò)流量的數(shù)學(xué)模型，提出正常情況下描述網(wǎng)絡(luò)流量的理想曲線的方法；通過對任意一個(gè)時(shí)間周期內(nèi)的流量曲線和正常流量曲線的特征和振幅進(jìn)行對比，發(fā)現(xiàn)當(dāng)前流量是否發(fā)生異常，并根據(jù)臨界值判斷大規(guī)模惡意代碼疫情爆發(fā)。
　　提出惡意代碼規(guī)則描述語言，設(shè)計(jì)了基于大特征集的單引擎網(wǎng)絡(luò)級(jí)惡意代碼檢測系統(tǒng)的系統(tǒng)結(jié)構(gòu)，通過特征歸一化描述方法，簡化檢測過程，通過單一的檢測引擎進(jìn)行網(wǎng)絡(luò)級(jí)惡意代碼檢測,實(shí)現(xiàn)對大特征集惡意

3、代碼的檢測。提出了一種高速的網(wǎng)絡(luò)惡意代碼檢測方法。通過定制惡意代碼的特征碼的方式，優(yōu)化WM算法的輸入數(shù)據(jù)，避免網(wǎng)絡(luò)數(shù)據(jù)中的高頻字符出現(xiàn)在特征串的尾部，使算法盡量避免進(jìn)入耗時(shí)的Hash表匹配；同時(shí)，平衡 Hash表中鏈表分支，選取特征碼時(shí)使其后綴的取值均衡分布，以提高WM匹配算法的效率。提出惡意代碼特征碼提取方法，從代碼功能特異性和結(jié)構(gòu)復(fù)雜度兩個(gè)角度進(jìn)行量化，實(shí)現(xiàn)自動(dòng)提取技術(shù)；提出惡意代碼特征碼跨數(shù)據(jù)包檢測的方法，分別用連續(xù)數(shù)據(jù)包緩存和特

4、征碼切割兩個(gè)方法解決了由于互聯(lián)網(wǎng)分組交換導(dǎo)致的特征碼跨越數(shù)據(jù)包的問題。
　　針對隔離后的網(wǎng)絡(luò)惡意代碼清除問題，提出了一種毒藥蠕蟲技術(shù)。通過預(yù)先設(shè)置在密罐主機(jī)上的一段有主動(dòng)傳播意識(shí)的，但沒有傳播能力的毒藥蠕蟲程序，對捕獲的蠕蟲進(jìn)行修改，修改其傳播模塊，卸載其自我復(fù)制模塊，加載控制模塊及修補(bǔ)模塊，利用惡意代碼的傳播能力繼續(xù)進(jìn)行可控傳播，消除易感節(jié)點(diǎn)的危險(xiǎn)性。建立SIPR模型并與傳統(tǒng)SIR模型的傳播趨勢進(jìn)行對比，證明此技術(shù)對網(wǎng)絡(luò)產(chǎn)生的負(fù)