惡意代碼監(jiān)測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)不斷發(fā)展，惡意代碼攻擊技術(shù)也隨著不斷的進(jìn)步。針對(duì)近年惡意代碼對(duì)網(wǎng)絡(luò)安全的危害日益增加這一問(wèn)題，為了提高網(wǎng)絡(luò)安全防護(hù)系統(tǒng)對(duì)惡意代碼的檢測(cè)效果，本文研究分析了惡意代碼的網(wǎng)絡(luò)通信形式和特點(diǎn)，并結(jié)合改進(jìn)的多序列比對(duì)算法，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)通信操作行為惡意代碼監(jiān)測(cè)系統(tǒng)。
　　盡管惡意代碼的種類繁多，他在網(wǎng)絡(luò)中的傳播的方式都有相對(duì)應(yīng)的特征，大部分的惡意代碼通過(guò)網(wǎng)絡(luò)的攻擊方式都有一定的規(guī)律，具有獨(dú)特的特性，如遠(yuǎn)控木馬和僵尸木馬的特

2、性碼，他們的特征提碼取也具有相似性，網(wǎng)頁(yè)后門的特征又有所不同。對(duì)于那些通過(guò)中轉(zhuǎn)攻擊或者混淆的惡意代碼攻擊我們很難去識(shí)別，導(dǎo)致在相對(duì)的時(shí)間內(nèi)很難去配對(duì)分析是不是惡意攻擊，這里就需要添加白名單，對(duì)協(xié)議進(jìn)行分析，如果是正常的協(xié)議，則直接過(guò)濾不需要匹配，這樣會(huì)大大降低系統(tǒng)內(nèi)存使用率。為此進(jìn)行了一系列的研究:
　　首先，研究了當(dāng)前主流的惡意代碼的網(wǎng)絡(luò)特征提取技術(shù)，主要涵蓋這些技術(shù)的特點(diǎn)、實(shí)現(xiàn)方式過(guò)程和它的實(shí)現(xiàn)效果，通過(guò)分析不同的網(wǎng)絡(luò)特征提取

3、方式，結(jié)合使用為本文的系統(tǒng)設(shè)計(jì)提供重要的幫助。
　　其次，研究了惡意代碼的種類及其通信原理，本文主要分析了木馬的工作原理和通信技術(shù)，討論了木馬的網(wǎng)絡(luò)操作行為的特征提取方法。接著研究了單模式和多模式匹配算法，針對(duì)木馬的網(wǎng)絡(luò)通信的特點(diǎn)提取的特征對(duì)算法得到恰當(dāng)?shù)膽?yīng)用，如單模式匹配占用的內(nèi)存太大使得系統(tǒng)的性能大大的降低，而采用單模式和多模式的結(jié)合使得系統(tǒng)內(nèi)存使用率降低很多性能也得到提高。
　　不同的惡意代碼在網(wǎng)絡(luò)中的傳播有著相應(yīng)的特