網(wǎng)絡惡意代碼監(jiān)測遏制關鍵技術.pdf

1、隨著信息技術的普及，互聯(lián)網(wǎng)逐漸成為人類物質社會的重要組成部分，應用領域已轉向大型、關鍵業(yè)務系統(tǒng)，人們對網(wǎng)絡的依賴越來越嚴重。但
　　是頻繁發(fā)生的網(wǎng)絡安全事件，對信息技術的應用產(chǎn)生了很大的威脅。因此應建立完備的網(wǎng)絡安全應急體制，對網(wǎng)絡安全態(tài)勢進行監(jiān)測，及時制定網(wǎng)絡安全策略，保障網(wǎng)絡安全運行。
　　本文在分析網(wǎng)絡惡意代碼傳播特性的基礎上，深入地研究了惡意代碼監(jiān)測遏制技術，主要研究工作如下：
　　本文提出了基于自相似性的異常

2、流量發(fā)現(xiàn)檢測技術。運用統(tǒng)計學方法建立了大規(guī)模網(wǎng)絡流量的數(shù)學模型，提出正常情況下描述網(wǎng)絡流量的理想曲線的方法；通過對任意一個時間周期內(nèi)的流量曲線和正常流量曲線的特征和振幅進行對比，發(fā)現(xiàn)當前流量是否發(fā)生異常，并根據(jù)臨界值判斷大規(guī)模惡意代碼疫情爆發(fā)。
　　提出惡意代碼規(guī)則描述語言，設計了基于大特征集的單引擎網(wǎng)絡級惡意代碼檢測系統(tǒng)的系統(tǒng)結構，通過特征歸一化描述方法，簡化檢測過程，通過單一的檢測引擎進行網(wǎng)絡級惡意代碼檢測,實現(xiàn)對大特征集惡意

3、代碼的檢測。提出了一種高速的網(wǎng)絡惡意代碼檢測方法。通過定制惡意代碼的特征碼的方式，優(yōu)化WM算法的輸入數(shù)據(jù)，避免網(wǎng)絡數(shù)據(jù)中的高頻字符出現(xiàn)在特征串的尾部，使算法盡量避免進入耗時的Hash表匹配；同時，平衡 Hash表中鏈表分支，選取特征碼時使其后綴的取值均衡分布，以提高WM匹配算法的效率。提出惡意代碼特征碼提取方法，從代碼功能特異性和結構復雜度兩個角度進行量化，實現(xiàn)自動提取技術；提出惡意代碼特征碼跨數(shù)據(jù)包檢測的方法，分別用連續(xù)數(shù)據(jù)包緩存和特

4、征碼切割兩個方法解決了由于互聯(lián)網(wǎng)分組交換導致的特征碼跨越數(shù)據(jù)包的問題。
　　針對隔離后的網(wǎng)絡惡意代碼清除問題，提出了一種毒藥蠕蟲技術。通過預先設置在密罐主機上的一段有主動傳播意識的，但沒有傳播能力的毒藥蠕蟲程序，對捕獲的蠕蟲進行修改，修改其傳播模塊，卸載其自我復制模塊，加載控制模塊及修補模塊，利用惡意代碼的傳播能力繼續(xù)進行可控傳播，消除易感節(jié)點的危險性。建立SIPR模型并與傳統(tǒng)SIR模型的傳播趨勢進行對比，證明此技術對網(wǎng)絡產(chǎn)生的負