惡意代碼監(jiān)測系統(tǒng)的研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)不斷發(fā)展，惡意代碼攻擊技術(shù)也隨著不斷的進步。針對近年惡意代碼對網(wǎng)絡(luò)安全的危害日益增加這一問題，為了提高網(wǎng)絡(luò)安全防護系統(tǒng)對惡意代碼的檢測效果，本文研究分析了惡意代碼的網(wǎng)絡(luò)通信形式和特點，并結(jié)合改進的多序列比對算法，設(shè)計實現(xiàn)了一個基于網(wǎng)絡(luò)通信操作行為惡意代碼監(jiān)測系統(tǒng)。
　　盡管惡意代碼的種類繁多，他在網(wǎng)絡(luò)中的傳播的方式都有相對應(yīng)的特征，大部分的惡意代碼通過網(wǎng)絡(luò)的攻擊方式都有一定的規(guī)律，具有獨特的特性，如遠(yuǎn)控木馬和僵尸木馬的特

2、性碼，他們的特征提碼取也具有相似性，網(wǎng)頁后門的特征又有所不同。對于那些通過中轉(zhuǎn)攻擊或者混淆的惡意代碼攻擊我們很難去識別，導(dǎo)致在相對的時間內(nèi)很難去配對分析是不是惡意攻擊，這里就需要添加白名單，對協(xié)議進行分析，如果是正常的協(xié)議，則直接過濾不需要匹配，這樣會大大降低系統(tǒng)內(nèi)存使用率。為此進行了一系列的研究:
　　首先，研究了當(dāng)前主流的惡意代碼的網(wǎng)絡(luò)特征提取技術(shù)，主要涵蓋這些技術(shù)的特點、實現(xiàn)方式過程和它的實現(xiàn)效果，通過分析不同的網(wǎng)絡(luò)特征提取

3、方式，結(jié)合使用為本文的系統(tǒng)設(shè)計提供重要的幫助。
　　其次，研究了惡意代碼的種類及其通信原理，本文主要分析了木馬的工作原理和通信技術(shù)，討論了木馬的網(wǎng)絡(luò)操作行為的特征提取方法。接著研究了單模式和多模式匹配算法，針對木馬的網(wǎng)絡(luò)通信的特點提取的特征對算法得到恰當(dāng)?shù)膽?yīng)用，如單模式匹配占用的內(nèi)存太大使得系統(tǒng)的性能大大的降低，而采用單模式和多模式的結(jié)合使得系統(tǒng)內(nèi)存使用率降低很多性能也得到提高。
　　不同的惡意代碼在網(wǎng)絡(luò)中的傳播有著相應(yīng)的特