基于因果关联分析恶意代码检测的研究与应用

　　1前言
　　随着计算机信息技术的飞速发展和普及，计算机和计算机网络已经渗入到人们的工作学习和生活中。在计算机和网络带给人们巨大的方便与快捷的同时，同样也带来了各种负面的计算机安全隐患。在各种安全威胁下，恶意代码是较为常见的一种入侵方式。恶意代码对计算机安全的破坏有小有大，小则计算机中数据丢失、被篡改，大则系统硬件可能被破坏。由于每种恶意代码在网络传播中的特点各不相同，攻击阶段也各不相同，如果采用传统的针对内容的检测分析无法高效识别与普通代码很相似的恶意代码。
　　本文提出了一种基于因果关联分析的方法来检测恶意代码，通过研究恶意代码在网络传播中的攻击模型，以因果关联分析方法为理论依据，来检测恶意代码，这种方式提高了对恶意代码的检测效率，降低了检测的误报率，并且能够兼容传统的数据包特征匹配算法。
　　2简介
　　2.1何为恶意代码
　　Malware是恶意代码的专业术语。恶意代码Malware本质是一段代码，只是这段代码含有一定的对计算机破坏的功能。恶意代码一般是运用计算机系统或者软件的各种漏洞进行破坏。一般表现形式是二进制文件、脚本或者宏。
　　恶意代码主要包括计算机后门、计算机病毒、特洛伊木马、恶意移动代码、蠕虫、内核套件和僵尸网络等。
　　计算机后门是一种通过使用后门工具对目标机器进行控制的恶意代码程序，它能够绕开正常的安全控制机制。
　　计算机病毒的最大特点就是可以自我复制，具有一定感染性的一段病毒代码。
　　特洛伊木马：正如特洛伊历史事件所描述的类似，该段代码能够伪装成正常有用的软件博取用户信任，一旦用户点击打开，则暴露出恶意行径的代码。
　　恶意移动代码：一般情况下，恶意移动代码是部署在Web服务器端的，所以它基本不需要过多的人工干预。一旦访问已经部署恶意代码的Web服务器，则本机就有可能被感染。
　　蠕虫：和计算机病毒一样具有自我复制性，将自身嵌套进宿主程序中运行的恶意代码。
　　内核套件：氛围用户态和内核态两种。一般通过替换或者修改系统中关键文件，获取最高控制权的一类程序代码。
　　僵尸网络：具有网络传播性和恶意性，危害较大。中毒的计算机不是一台，而是网络上的多台，感染范围较大，该恶意代码控制多台网络中的计算机，使其被感染的计算机如同僵尸一般受控制。
　　2.2恶意代码工作原理
　　恶意代码一般通过四种方式运行：利用系统漏洞、嵌入其他文件、伪装成有用文件和欺骗。恶意代码可以通过自我复制传染更多的主机文件或者网络上的不同主机。传播的介质有网络电子邮件、计算机中的网络共享、移动介质（U盘、移动硬盘等）、P2P共享、系统本身漏洞等。恶意代码入侵主机后，可以通过修改系统设置成为系统开机自启动项目中的其中一项，当用户每次开机时，就启动恶意代码进行非法操作，如发起非法攻击、记录键盘和鼠标事件、获取用户隐私等等。
　　电子邮件传播的原理：电子邮件中HTML正文可能被嵌入恶意脚本；邮件附件携带病毒压缩文件或者可执行文件。
　　P2P共享：感染P2P共享文件夹，当用户在P2P文件夹中下载文件时，可能被感染。如WORM、PEERCOPY.A等恶意代码。
　　网络共享：恶意代码程序中会存在自身的口令猜测逻辑进行口令猜测，试图访问网络共享中存在的文件夹，当获取到用户名和密码后，将自身恶意代码拷贝到网络共享中，并将自身命名为游戏等名称吸引眼球，诱导用户点击触发。
　　系统漏洞：由于操作系统本身有一些设计缺陷，导致被非法用户通过非法方式利用，执行恶意代码，恶意代码通过系统漏洞进入系统，达到感染目的。如WebDAV漏洞、LocalSecurityAuthoritySubsystemService漏洞、RPC-DCOM缓冲区溢出漏洞等是经常被利用的漏洞。
　　3因果关联分析
　　3.1因果关联分析法
　　因果联系即有因必有果，万事万物都是存在因果联系的。任何结果的产生都是由因导致的。因果联系中的事物是一种引起与被引起的关系。因果联系理论目前应用到很多领域，本文就是将因果联系理论应用到计算机恶意代码的分析检测中。
　　3.2因果关联应用到恶意代码检测

　　论文榜（www.zglwb.com），是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导，寻求投稿辅导代理，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。


期刊鉴别	论文检测	免费论文	特惠期刊	学术答疑	发表流程

搜索

基于因果关联分析恶意代码检测的研究与应用