信息系統(tǒng)惡意代碼檢測關(guān)鍵技術(shù)研究.pdf

1、隨著國家信息技術(shù)的快速發(fā)展和綜合國力的提升，商業(yè)秘密信息和國家秘密信息成為了竊密者的重要攻擊對象。由于信息系統(tǒng)外部軟硬件國產(chǎn)化進(jìn)程還無法適應(yīng)當(dāng)前的技術(shù)發(fā)展和需要，因而為竊密者提供了大量的可利用的系統(tǒng)漏洞和攻擊途徑，其中，以惡意代碼為典型代表的攻擊方式在信息系統(tǒng)內(nèi)屢見不鮮，且攻擊方式不斷優(yōu)化。對于這些惡意代碼，一旦無法及時檢測和清除，輕者破壞信息系統(tǒng)的部分功能和應(yīng)用環(huán)境，重者則直接竊取敏感的涉密信息，給國家安全和經(jīng)濟(jì)建設(shè)造成嚴(yán)重的損失。為

2、此，惡意代碼檢測技術(shù)已成為我國政府、軍隊和科研院所重點(diǎn)關(guān)注的研究問題。
　　雖然人們對惡意代碼特征以及信息系統(tǒng)安全防護(hù)等相關(guān)技術(shù)進(jìn)行了長期研究，提出了各類有效技術(shù)及機(jī)制并試圖解決信息系統(tǒng)內(nèi)惡意代碼檢測與清除研究中所遇到的各類安全問題，但這些技術(shù)并沒有很好地適應(yīng)信息系統(tǒng)的綜合環(huán)境和特性。
　　本文以信息系統(tǒng)內(nèi)惡意代碼基本特征為研究對象，以信息系統(tǒng)安全為研究內(nèi)容，從惡意代碼檢測的實用角度出發(fā)，深入研究了可適應(yīng)信息系統(tǒng)環(huán)境，具有特

3、殊攻擊性、潛伏性等特點(diǎn)的惡意代碼行為方式，并提出了綜合性的惡意代碼檢測方法。
　　首先，以信息系統(tǒng)為例，應(yīng)用程序、進(jìn)程和服務(wù)比較單一，特別是文件、網(wǎng)絡(luò)、注冊表等訪問行為。為此，針對惡意代碼善于偽裝以及添加無序行為的方式來逃避檢測的情況，提出了運(yùn)用齊次隱馬爾可夫模型提高判斷惡意行為準(zhǔn)確性的方法。該方法通過對于危險行為特征的概率計算，能夠準(zhǔn)確地識別惡意代碼程序加殼以及無序干擾的偽裝方式，提高信息系統(tǒng)環(huán)境惡意代碼的檢測率。
　　其

4、次，在信息系統(tǒng)中，為了混淆惡意特征以及行為，惡意代碼往往會通過變種的方式，為此，提出了基于啟發(fā)式的惡意代碼檢測方法，通過靜態(tài)的行為特征，按照特征的判別熵進(jìn)行特征精簡，來比較所有與正常樣本存在差異的樣本。對于通過采用自修改代碼技術(shù)隱藏自身邏輯的惡意代碼，提出了使用虛擬機(jī)技術(shù)新生惡意代碼位置的方法，并調(diào)用靜態(tài)檢測部分進(jìn)行檢測，達(dá)到檢測自修改代碼未知惡意代碼的目的。
　　最后，在信息系統(tǒng)中，惡意代碼最顯著的特征是自身隱蔽性，為了達(dá)到事前