信息系統(tǒng)惡意代碼檢測(cè)關(guān)鍵技術(shù)研究.pdf

1、隨著國(guó)家信息技術(shù)的快速發(fā)展和綜合國(guó)力的提升，商業(yè)秘密信息和國(guó)家秘密信息成為了竊密者的重要攻擊對(duì)象。由于信息系統(tǒng)外部軟硬件國(guó)產(chǎn)化進(jìn)程還無法適應(yīng)當(dāng)前的技術(shù)發(fā)展和需要，因而為竊密者提供了大量的可利用的系統(tǒng)漏洞和攻擊途徑，其中，以惡意代碼為典型代表的攻擊方式在信息系統(tǒng)內(nèi)屢見不鮮，且攻擊方式不斷優(yōu)化。對(duì)于這些惡意代碼，一旦無法及時(shí)檢測(cè)和清除，輕者破壞信息系統(tǒng)的部分功能和應(yīng)用環(huán)境，重者則直接竊取敏感的涉密信息，給國(guó)家安全和經(jīng)濟(jì)建設(shè)造成嚴(yán)重的損失。為

2、此，惡意代碼檢測(cè)技術(shù)已成為我國(guó)政府、軍隊(duì)和科研院所重點(diǎn)關(guān)注的研究問題。
　　雖然人們對(duì)惡意代碼特征以及信息系統(tǒng)安全防護(hù)等相關(guān)技術(shù)進(jìn)行了長(zhǎng)期研究，提出了各類有效技術(shù)及機(jī)制并試圖解決信息系統(tǒng)內(nèi)惡意代碼檢測(cè)與清除研究中所遇到的各類安全問題，但這些技術(shù)并沒有很好地適應(yīng)信息系統(tǒng)的綜合環(huán)境和特性。
　　本文以信息系統(tǒng)內(nèi)惡意代碼基本特征為研究對(duì)象，以信息系統(tǒng)安全為研究?jī)?nèi)容，從惡意代碼檢測(cè)的實(shí)用角度出發(fā)，深入研究了可適應(yīng)信息系統(tǒng)環(huán)境，具有特

3、殊攻擊性、潛伏性等特點(diǎn)的惡意代碼行為方式，并提出了綜合性的惡意代碼檢測(cè)方法。
　　首先，以信息系統(tǒng)為例，應(yīng)用程序、進(jìn)程和服務(wù)比較單一，特別是文件、網(wǎng)絡(luò)、注冊(cè)表等訪問行為。為此，針對(duì)惡意代碼善于偽裝以及添加無序行為的方式來逃避檢測(cè)的情況，提出了運(yùn)用齊次隱馬爾可夫模型提高判斷惡意行為準(zhǔn)確性的方法。該方法通過對(duì)于危險(xiǎn)行為特征的概率計(jì)算，能夠準(zhǔn)確地識(shí)別惡意代碼程序加殼以及無序干擾的偽裝方式，提高信息系統(tǒng)環(huán)境惡意代碼的檢測(cè)率。
　　其

4、次，在信息系統(tǒng)中，為了混淆惡意特征以及行為，惡意代碼往往會(huì)通過變種的方式，為此，提出了基于啟發(fā)式的惡意代碼檢測(cè)方法，通過靜態(tài)的行為特征，按照特征的判別熵進(jìn)行特征精簡(jiǎn)，來比較所有與正常樣本存在差異的樣本。對(duì)于通過采用自修改代碼技術(shù)隱藏自身邏輯的惡意代碼，提出了使用虛擬機(jī)技術(shù)新生惡意代碼位置的方法，并調(diào)用靜態(tài)檢測(cè)部分進(jìn)行檢測(cè)，達(dá)到檢測(cè)自修改代碼未知惡意代碼的目的。
　　最后，在信息系統(tǒng)中，惡意代碼最顯著的特征是自身隱蔽性，為了達(dá)到事前