恶意代码危害性评估标准和检测技术的研究

摘要

随着互联网的发展,以利益为驱动的有组织网络犯罪在全球日渐猖獗。这些犯罪活动包括网络盗窃、诈骗和攻击破坏,窃取个人敏感信息和国家秘密信息等,严重威胁我国互联网的安全和发展应用,甚至危及国家安全和社会稳定。为了应对这些问题,落实《国家信息化领导小组关于信息安全保障工作的意见》、《2006-2020年国家信息化发展战略》等文件的要求,建设和完善我国信息安全监控体系,提高对网络安全事件的应对和防范能力。本文提出建设我国恶意代码和网络攻击监测预警体系,并对体系建设中涉及的恶意代码危害性评估标准和恶意代码检测技术等重点课题展开研究。本文取得以下主要成果:
　　 1、本文从恶意代码的基础理论入手,重点分析了Adleman给出的计算机病毒形式化定义,详细研究了恶意代码的特征、传播机理、自我保护技术和相关危害性案例等,确定了趋利性和破坏性是当前恶意代码的主要特征,提出了基于递归函数的恶意代码形式化定义。在此基础上研究了恶意代码危害性评估要素和指标体系,制定了恶意代码危害性评估标准,形成公安部行业标准征求意见稿,并在国家计算机病毒应急处理中心和反病毒行业试用,为今后统一和规范我国恶意代码和网络攻击事件预警发布、应急处置工作提供了标准和依据。
　　 2、分析和总结当前恶意代码的主要检测技术及发展趋势,指出现有检测技术存在的不足,针对当前邮件蠕虫、垃圾邮件和挂马网页相结合形成新型群发恶意邮件的问题,研究了恶意邮件的传播机制和特征,提出基于行为的恶意邮件发送节点检测方法(DBMH)。利用数据挖掘技术,分析恶意邮件发送过程中的网络数据,提取异常行为特征,生成检测规则,基于该规则实现DBMH检测方法。实验结果表明,该方法检测恶意邮件发送节点的准确率为99.5666％,召回率为53.4266%;改进后的方法准确率达到94.4660%,召回率提高到90.7226%。DBMH检测方法已经应用于国家计算机病毒应急处理中心对恶意邮件发送节点的检测工作,有效地提高了对恶意邮件发送源头的发现能力,为进一步遏制恶意邮件提供了保证。
　　 3、研究了当前恶意代码丰要传播途径—挂马网页,总结了挂马网页的主要技术特征,通过分析捕获的258459个挂马网页和19167个挂马网站域名,得到挂马网页具有批量化和工具化的网络行为特征,并基于这些特征,将挂马网页整理归纳出122类放马网站。在此基础上,提出一种基于行为的挂马网页检测方法(DBMU)。测试结果表明,该方法对122类放马网站的平均检测率为84.02%,其中85类实现全部检测,占测试类总数的69.67%,最大检测样本数量只有151个;根据Google提供的数据,10个月期间对6600多万网页检测,发现了9340个放马网站,检测率为0.014%。实际应用表明,DBMU检测方法具有检测样本少、时间开销低和检测率高的优点,可以提高对挂马网页的发现和预警能力。该方法已应用于我国恶意代码和网络攻击监测预警体系,取得预期效果。
　　 4、提出了我国恶意代码和网络攻击监测预警体系的建设方案,研究了监测预警体系的建设原则、组成结构、相关技术指标和配套标准以及管理与保障措施;设计实现了监测预警体系中的计算机病毒和网络攻击监测预警系统,并作为国家计算机病毒应急处理中心监测和应急处置的技术平台部署在互联网中,为国家计算机病毒应急处理中心每周通过中央电视台和新华社发布病毒预报提供技术支持,取得良好的社会效果。