通信網(wǎng)絡(luò)惡意代碼及其應(yīng)急響應(yīng)關(guān)鍵技術(shù)研究.pdf

1、通信網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)化、網(wǎng)絡(luò)技術(shù) IP分組化、網(wǎng)絡(luò)接入無線化、網(wǎng)絡(luò)逐漸開放化，以及網(wǎng)絡(luò)不斷融合發(fā)展，已經(jīng)成為通信網(wǎng)絡(luò)演進的主流方向。隨著通信網(wǎng)絡(luò)的迅速發(fā)展和日益開放，網(wǎng)絡(luò)安全問題逐漸凸顯出來。本文從業(yè)務(wù)層安全、控制層安全、傳輸層安全和接入層安全等層次入手，深入系統(tǒng)地研究通信網(wǎng)絡(luò)在各個層次的安全特性和安全隱患，提出通信網(wǎng)絡(luò)惡意代碼的技術(shù)框架，并解決用于通信網(wǎng)絡(luò)惡意代碼應(yīng)急響應(yīng)的完整處置過程所涉及的關(guān)鍵技術(shù)問題。研究工作的主要貢獻包括以下五個方

2、面：
　?。?）提出通信網(wǎng)絡(luò)惡意代碼以及應(yīng)急響應(yīng)的技術(shù)框架
　　在總結(jié)了通信網(wǎng)絡(luò)安全隱患和惡意代碼關(guān)鍵技術(shù)發(fā)展趨勢的基礎(chǔ)上，本文設(shè)計和實現(xiàn)了通信網(wǎng)絡(luò)惡意代碼攻擊平臺，旨在增強惡意代碼的綜合破壞效果、改進惡意代碼的傳播機制、實現(xiàn)惡意代碼攻擊行為的智能化，并將其運用于通信網(wǎng)絡(luò)的軟交換技術(shù)。惡意代碼的破壞效果是實現(xiàn)和核心，惡意代碼是通過原子功能實現(xiàn)的，主要闡述本人設(shè)計實現(xiàn)的部分惡意代碼，包括 Shellcode的設(shè)計、基于堆的溢出

3、攻擊技術(shù)、格式化字符串攻擊技術(shù)、內(nèi)核入侵隱藏技術(shù)、殺毒軟件反制的技術(shù)，以及SIP監(jiān)聽與拒絕服務(wù)技術(shù)。同時，該平臺也適用于測試惡意代碼應(yīng)急響應(yīng)系統(tǒng)的功能和性能。
　　另一方面，基于對惡意代碼攻擊關(guān)鍵技術(shù)問題分析的基礎(chǔ)上，面向通信網(wǎng)絡(luò)環(huán)境，提出通信網(wǎng)絡(luò)惡意代碼應(yīng)急響應(yīng)技術(shù)框架。旨在構(gòu)建惡意代碼防范的整體架構(gòu)，提出針對通信網(wǎng)絡(luò)惡意代碼的有效檢測防御技術(shù)和手段，以及研究對惡意代碼免疫技術(shù)，并對惡意代碼的攻擊和防御效果從理論上進行的合理評估

4、與評價。
　?。?）提出惡意代碼的靜態(tài)和動態(tài)檢測新方法
　　在惡意代碼靜態(tài)分析方面，提出基于未知惡意代碼樣本空間關(guān)系特征的靜態(tài)樣本自動檢測技術(shù)。發(fā)掘惡意代碼字符空間關(guān)系的獨特“紋理”特征，基于區(qū)域生長的智能分塊算法，劃分惡意代碼樣本空間關(guān)系區(qū)域；根據(jù)區(qū)域分別提取惡意代碼樣本的字符矩、信息熵和相關(guān)系數(shù)等空間關(guān)系特征；采用綜合多特征的相似優(yōu)先匹配方法檢測未知惡意代碼。
　　在惡意代碼動態(tài)分析方面，提出基于自相似特性的惡意代

5、碼分析技術(shù)，通過重新標(biāo)度權(quán)差分析算法、回歸方差算法、Higuchi算法等多種自相似方法綜合進行比較，從而驗證確實惡意代碼動態(tài)特性確實存在自相似性。在此基礎(chǔ)上提出了基于模糊識別和支持向量機的聯(lián)合動態(tài)檢測技術(shù)，對系統(tǒng)調(diào)用序列進行匹配生成元掃描，根據(jù)生成元的距離采用加權(quán)平均法得到模糊識別初步結(jié)論；進而對可疑程序，采用基于層次的多屬性支持向量機分析法，對量化的API系統(tǒng)調(diào)用序列進行屬性分解，最終依據(jù)多個屬性動態(tài)行為屬性的漢明距離，從而確認其惡意

6、行為和惡意代碼的所屬類型。
　?。?）提出基于綜合熵值法的惡意代碼量化評估方法
　　在總結(jié)通信網(wǎng)絡(luò)惡意代碼攻擊手段、攻擊對象、攻擊步驟，以及攻擊指標(biāo)的基礎(chǔ)上，本文采用綜合流量判定和系統(tǒng)指標(biāo)判定的方法，提出了聯(lián)合交叉熵和網(wǎng)絡(luò)特征熵的辦法來構(gòu)建惡意代碼網(wǎng)絡(luò)攻擊效果評估設(shè)計方案。實時采集的相關(guān)指標(biāo)并權(quán)衡各種不同類型的指標(biāo)之間的差異；采用交叉熵方法自適應(yīng)預(yù)估，利用網(wǎng)絡(luò)特征熵對攻擊進行精確描述，結(jié)合多次評估結(jié)果進行反饋修正。這種綜合熵

7、值的計算辦法，直觀看出網(wǎng)絡(luò)攻擊的存在，量化網(wǎng)絡(luò)攻擊的效果，而且可以準(zhǔn)確定位出攻擊的起止時刻。
　?。?）提出基于通信網(wǎng)絡(luò)惡意代碼的免疫模型和改進算法
　　應(yīng)急響應(yīng)的最后部分是進行惡意代碼免疫。設(shè)計實現(xiàn)了惡意代碼免疫機制的新框架，包括免疫信息的采集程序、免疫信息的過濾處理程序、免疫信息的判別程序，以及免疫響應(yīng)程序四個相互關(guān)聯(lián)的組成部分。針對目前免疫算法中的信號的誤分類給檢測準(zhǔn)確率帶來極大影響的問題，提出基于模糊加權(quán)支持向量機的

8、網(wǎng)絡(luò)惡意代碼樹突細胞免疫算法，對信號和抗原進行模糊聚類，減少了免疫策略的數(shù)量，并且降低了免疫響應(yīng)時間，從而提高免疫系統(tǒng)的效率和性能。此外，本文采用不平衡支持向量機對輸出的親和力值進行篩選，只保留其最重要的特征值，便于免疫響應(yīng)程序進行優(yōu)化判定處理，從而優(yōu)化惡意代碼免疫輸出結(jié)果。
　　（5）設(shè)計實現(xiàn)了惡意代碼及其應(yīng)急響應(yīng)原型系統(tǒng)
　　為了驗證提出的通信網(wǎng)絡(luò)惡意代碼及應(yīng)急響應(yīng)關(guān)鍵技術(shù)，設(shè)計和實現(xiàn)了惡意代碼及應(yīng)急響應(yīng)的原型系統(tǒng)。對于