基于非包还原的恶意代码检测技术研究

摘要

在面对单个对象文件时,基于主机的检测系统拥有着更强的检测能力,可是每台检测设备的安装运行的开销和成本过于高昂,不便于在网络环境中大量布置,所以在实际的应用当中,基于网络的检测系统拥有更加广泛的应用场景,可部署到更多的网络节点之上,基于这种情况,针对网络恶意代码检测系统,提升其单台设备的检测能力能够使系统在面对恶意代码入侵时作出更好的表现,在网络安全防御的领域达到更佳的性能。基于网络的恶意代码检测系统有着数量繁多的前端检测设备,但是他们却相对低端,单台成本较低,无法像主机检测一样将在网络中捕获到的通信数据流进行还原,就算行,也费时费力,一旦处理速度跟不上网络流量,就会丢失大量的已截取到的数据包。
　　现在的网络级恶意代码检测系统只能针对行为规则模式进行匹配,所探测的攻击内容要么是已经种植在网段内的恶意软件的恶意行为,要么就是外网向内网的攻击行为,和主机检测一样不能对病毒种植过程做出反应。如果能结合二者优点,将主机能对文件进行检测的功能应用到网络检测对网络数据包的分析当中,就能实现对病毒种植过程的探测。
　　前面提到前端设备因为自身局限不能进行数据还原,因此如果能让检测系统的前端主机在能够不重组数据包就检测出数据包是否为恶意代码有着重大的意义,在不进行数据包还原的前提条件下,利用直接对单包的内容进行特征匹配进而对可疑的数据包产生告警信息,可以显著增强基于网络的恶意代码检测系统前端主机的检测能力,最终达到在病毒传播过程中就能探测到异常的目的。
　　实现该方案最关键的技术难点在于如何设计出适用于基于非包还原的恶意代码检测技术的特征码扫描检测引擎,一套特征码扫描检测引擎包括特征码选取,构建特征库,实现高效的特征匹配算法等关键点。虽然目前已有多种相关特征码扫描的全套技术,但是应用场景都是基于主机的恶意代码检测系统,这些技术普遍选取特征码较长,匹配精确但并不太要求匹配速度,若是将这些技术生搬硬套,将导致在网络环境中特征码容易被截断,匹配效率不够令系统丢弃大量数据包等问题。本文会将研究重心放在设计实现适用于基于非包还原的恶意代码检测系统的特征码扫描技术,打通关键环节并实现系统,最后经过测试来进行验证。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 课题背景

1.2 课题的研究意义和目的

1.3 国内外研究现状

1.4 本文的主要研究工作和组织结构

第二章 恶意代码及其分析检测方法概述

2.1 恶意代码概述

2.2 恶意代码检测技术

2.3 入侵检测技术

2.4 现有检测方式优缺点及改进方案

2.5 本章小结

第三章 关键概念及技术研究

3.1 基于非包还原的恶意代码检测技术

3.2 提取特征码

3.3 构建病毒库

3.4 特征码匹配

3.5 本章小结

第四章 基于非包还原的恶意代码检测系统设计及实现

4.1 总体设计

4.2 特征码检测引擎模块

4.3 网络数据捕获模块

4.4 特征码匹配检测模块

4.5 报警模块

4.6 后端观测模块

4.7 数据库设计

4.8 本章小结

第五章 基于非包还原的恶意代码检测系统测试

5.1 测试环境

5.2 测试条件与步骤

5.3 测试结果及结论

5.4 本章小结

第六章 结束语

6.1 论文总结

6.2 下一步工作

致谢

参考文献

攻读硕士期间取得成果