大型网络恶意代码检测关键技术研究

摘要

随着互联网开放程度的加大以及信息交流与共享的进一步增强,通过网络来传播恶意代码成为恶意代码入侵的主要形式。同时,随着恶意代码编写者水平的提高,恶意代码的欺骗性和隐蔽性也越来越强。
　　 基于网络的恶意代码检测的研究正逐渐成为恶意代码检测领域的热点话题。由于传统的基于数据特征的检测方法对同一恶意代码需要若干个检测规则用以描述其特征,这会导致大量冗余特征的出现,进而影响检测效率。因此网络级的恶意代码检测技术的本质应该是面向内容的分析,其检测规则的核心应是内容特征。
　　 每种恶意代码在网络中的传播都有着其相应的特点,采用多种方法和不同的表现形式,但是大部分的恶意代码的网络攻击行为既不是独立的也不是杂乱无章的,而是分别处于攻击系列中的不同阶段,前期阶段为后期阶段服务。如果只采用基于单个数据包内容特征的检测,则无法高效识别那些易和正常流量相混淆的恶意代码,导致单位时间内需要匹配大量的正常网络应用数据包,而且无法描述攻击所处的阶段。为此本文提出了一种基于关联特征的恶意代码检测方法:通过研究恶意代码在网络中传播的攻击模型,以攻击模型存在因果关系为理论依据,在数据流多个数据包中提取关联特征作为特征库内容,以D(n.gm)的空间开销为代价,使用这些具备逻辑关联的成员特征对内网主机数据进行匹配过滤。依据这个原理来对恶意代码进行检测,既可以很大程度上减少对J下常网络流量的误检,降低检测的误报率,又可以检测攻击所处的状态,并且能够兼容传统的数据包特征匹配算法。
　　 本文先后介绍了关联特征检测算法和基于该算法的检测系统的实现过程,在真实场景下对检测系统进行了模拟攻击验证实验,并对实验结果进行了分析。实验结果证明了基于关联特征过滤算法的恶意代码检测方法的准确性、有效性和实用性。