信息系統(tǒng)惡意代碼檢測關鍵技術研究.pdf

1、隨著國家信息技術的快速發(fā)展和綜合國力的提升，商業(yè)秘密信息和國家秘密信息成為了竊密者的重要攻擊對象。由于信息系統(tǒng)外部軟硬件國產化進程還無法適應當前的技術發(fā)展和需要，因而為竊密者提供了大量的可利用的系統(tǒng)漏洞和攻擊途徑，其中，以惡意代碼為典型代表的攻擊方式在信息系統(tǒng)內屢見不鮮，且攻擊方式不斷優(yōu)化。對于這些惡意代碼，一旦無法及時檢測和清除，輕者破壞信息系統(tǒng)的部分功能和應用環(huán)境，重者則直接竊取敏感的涉密信息，給國家安全和經濟建設造成嚴重的損失。為

2、此，惡意代碼檢測技術已成為我國政府、軍隊和科研院所重點關注的研究問題。
　　雖然人們對惡意代碼特征以及信息系統(tǒng)安全防護等相關技術進行了長期研究，提出了各類有效技術及機制并試圖解決信息系統(tǒng)內惡意代碼檢測與清除研究中所遇到的各類安全問題，但這些技術并沒有很好地適應信息系統(tǒng)的綜合環(huán)境和特性。
　　本文以信息系統(tǒng)內惡意代碼基本特征為研究對象，以信息系統(tǒng)安全為研究內容，從惡意代碼檢測的實用角度出發(fā)，深入研究了可適應信息系統(tǒng)環(huán)境，具有特

3、殊攻擊性、潛伏性等特點的惡意代碼行為方式，并提出了綜合性的惡意代碼檢測方法。
　　首先，以信息系統(tǒng)為例，應用程序、進程和服務比較單一，特別是文件、網絡、注冊表等訪問行為。為此，針對惡意代碼善于偽裝以及添加無序行為的方式來逃避檢測的情況，提出了運用齊次隱馬爾可夫模型提高判斷惡意行為準確性的方法。該方法通過對于危險行為特征的概率計算，能夠準確地識別惡意代碼程序加殼以及無序干擾的偽裝方式，提高信息系統(tǒng)環(huán)境惡意代碼的檢測率。
　　其

4、次，在信息系統(tǒng)中，為了混淆惡意特征以及行為，惡意代碼往往會通過變種的方式，為此，提出了基于啟發(fā)式的惡意代碼檢測方法，通過靜態(tài)的行為特征，按照特征的判別熵進行特征精簡，來比較所有與正常樣本存在差異的樣本。對于通過采用自修改代碼技術隱藏自身邏輯的惡意代碼，提出了使用虛擬機技術新生惡意代碼位置的方法，并調用靜態(tài)檢測部分進行檢測，達到檢測自修改代碼未知惡意代碼的目的。
　　最后，在信息系統(tǒng)中，惡意代碼最顯著的特征是自身隱蔽性，為了達到事前