基于行為的多態(tài)蠕蟲檢測技術研究.pdf

1、隨著網絡系統(tǒng)應用及復雜性的增加，網絡蠕蟲成為網絡系統(tǒng)安全的重要威脅。近幾年來，蠕蟲本身又有了新的進展，即多態(tài)蠕蟲的出現，其通過使用多種變形技術可以很容易的避開現有入侵檢測系統(tǒng)的檢測，成為未來威脅到互聯網絡安全的一個重大隱患。目前，針對多態(tài)蠕蟲的檢測技術的研究已經成為現在蠕蟲研究的熱點。 盡管針對多態(tài)蠕蟲的研究已有了許多有價值的研究成果，但均建立在多態(tài)蠕蟲只能進行簡單變形與隱蔽的假設基礎上，對現有蠕蟲變形技術及工具缺乏全面的分析與

2、認識。雖然多態(tài)蠕蟲還未在網絡上大規(guī)模的出現，并像Morris、CodRed等蠕蟲那樣給社會帶來巨大的損失與危害，但隨著代碼混淆技術及變形技術的不斷提高，其潛在的破壞性與危害性不得不引起我們的關注。本文試圖以多態(tài)蠕蟲及其檢測技術為主題，對其進行系統(tǒng)及全面的分析與研究。 基于行為的多態(tài)蠕蟲檢測技術，由于其利用蠕蟲行為不變性這一特點以及在檢測多態(tài)蠕蟲方面的靈活性，已成為目前多態(tài)蠕蟲檢測技術研究的重點。本文綜合論述了多態(tài)蠕蟲本身的結構及

3、常用變形技術，對近幾年來針對多態(tài)蠕蟲的防治技術進行了歸納總結和比較分析，并在此基礎上對多態(tài)蠕蟲本身進行了進一步的研究與探討，提出了一個針對能力更強的多態(tài)蠕蟲的檢測方法，所做主要工作如下： 1)針對現有多態(tài)蠕蟲檢測技術給出了系統(tǒng)及全面的分析。通過對現有幾類檢測技術的比較，給出了它們各自的優(yōu)點與局限性，并以圖表的形式清晰全面得對其各個方面的特點進行了對比與總結。 2)給出了一種能力較強的多態(tài)蠕蟲的結構及變形方式--可改變程序

4、結構的多態(tài)蠕蟲。通過對大量文獻及現有變形技術的分析，給出了一種能力較強且具有潛在危害性的多態(tài)蠕蟲，并對其多種變形方式進行了分析。同時，本文還對現有檢測技術在防治該種多態(tài)蠕蟲時表現出的局限性進行了分析與總結。 3)針對上述多態(tài)蠕蟲給出了一種新的檢測技術--利用PDG(程序依賴圖)檢測結構可變的多態(tài)蠕蟲。通過對該蠕蟲行為特點的深入分析，即在整個傳播與攻擊過程中功能保持不變的特點，提出利用PDG來描述形態(tài)各異的蠕蟲實例間功能上的共性，