網(wǎng)絡(luò)惡意代碼監(jiān)測(cè)遏制關(guān)鍵技術(shù).pdf

1、隨著信息技術(shù)的普及，互聯(lián)網(wǎng)逐漸成為人類(lèi)物質(zhì)社會(huì)的重要組成部分，應(yīng)用領(lǐng)域已轉(zhuǎn)向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)，人們對(duì)網(wǎng)絡(luò)的依賴(lài)越來(lái)越嚴(yán)重。但
　　是頻繁發(fā)生的網(wǎng)絡(luò)安全事件，對(duì)信息技術(shù)的應(yīng)用產(chǎn)生了很大的威脅。因此應(yīng)建立完備的網(wǎng)絡(luò)安全應(yīng)急體制，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行監(jiān)測(cè)，及時(shí)制定網(wǎng)絡(luò)安全策略，保障網(wǎng)絡(luò)安全運(yùn)行。
　　本文在分析網(wǎng)絡(luò)惡意代碼傳播特性的基礎(chǔ)上，深入地研究了惡意代碼監(jiān)測(cè)遏制技術(shù)，主要研究工作如下：
　　本文提出了基于自相似性的異常

2、流量發(fā)現(xiàn)檢測(cè)技術(shù)。運(yùn)用統(tǒng)計(jì)學(xué)方法建立了大規(guī)模網(wǎng)絡(luò)流量的數(shù)學(xué)模型，提出正常情況下描述網(wǎng)絡(luò)流量的理想曲線(xiàn)的方法；通過(guò)對(duì)任意一個(gè)時(shí)間周期內(nèi)的流量曲線(xiàn)和正常流量曲線(xiàn)的特征和振幅進(jìn)行對(duì)比，發(fā)現(xiàn)當(dāng)前流量是否發(fā)生異常，并根據(jù)臨界值判斷大規(guī)模惡意代碼疫情爆發(fā)。
　　提出惡意代碼規(guī)則描述語(yǔ)言，設(shè)計(jì)了基于大特征集的單引擎網(wǎng)絡(luò)級(jí)惡意代碼檢測(cè)系統(tǒng)的系統(tǒng)結(jié)構(gòu)，通過(guò)特征歸一化描述方法，簡(jiǎn)化檢測(cè)過(guò)程，通過(guò)單一的檢測(cè)引擎進(jìn)行網(wǎng)絡(luò)級(jí)惡意代碼檢測(cè),實(shí)現(xiàn)對(duì)大特征集惡意

3、代碼的檢測(cè)。提出了一種高速的網(wǎng)絡(luò)惡意代碼檢測(cè)方法。通過(guò)定制惡意代碼的特征碼的方式，優(yōu)化WM算法的輸入數(shù)據(jù)，避免網(wǎng)絡(luò)數(shù)據(jù)中的高頻字符出現(xiàn)在特征串的尾部，使算法盡量避免進(jìn)入耗時(shí)的Hash表匹配；同時(shí)，平衡 Hash表中鏈表分支，選取特征碼時(shí)使其后綴的取值均衡分布，以提高WM匹配算法的效率。提出惡意代碼特征碼提取方法，從代碼功能特異性和結(jié)構(gòu)復(fù)雜度兩個(gè)角度進(jìn)行量化，實(shí)現(xiàn)自動(dòng)提取技術(shù)；提出惡意代碼特征碼跨數(shù)據(jù)包檢測(cè)的方法，分別用連續(xù)數(shù)據(jù)包緩存和特

4、征碼切割兩個(gè)方法解決了由于互聯(lián)網(wǎng)分組交換導(dǎo)致的特征碼跨越數(shù)據(jù)包的問(wèn)題。
　　針對(duì)隔離后的網(wǎng)絡(luò)惡意代碼清除問(wèn)題，提出了一種毒藥蠕蟲(chóng)技術(shù)。通過(guò)預(yù)先設(shè)置在密罐主機(jī)上的一段有主動(dòng)傳播意識(shí)的，但沒(méi)有傳播能力的毒藥蠕蟲(chóng)程序，對(duì)捕獲的蠕蟲(chóng)進(jìn)行修改，修改其傳播模塊，卸載其自我復(fù)制模塊，加載控制模塊及修補(bǔ)模塊，利用惡意代碼的傳播能力繼續(xù)進(jìn)行可控傳播，消除易感節(jié)點(diǎn)的危險(xiǎn)性。建立SIPR模型并與傳統(tǒng)SIR模型的傳播趨勢(shì)進(jìn)行對(duì)比，證明此技術(shù)對(duì)網(wǎng)絡(luò)產(chǎn)生的負(fù)