隨著計(jì)算機(jī)信息技術(shù)的飛速發(fā)展和普及，計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)滲入到人們的工作學(xué)習(xí)和生活中。在計(jì)算機(jī)和網(wǎng)絡(luò)帶給人們巨大的方便與快捷的同時(shí)，同樣也帶來了各種負(fù)面的計(jì)算機(jī)安全隱患。在各種安全威脅下，惡意代碼是較為常見的一種入侵方式。惡意代碼對計(jì)算機(jī)安全的破壞有小有大，小則計(jì)算機(jī)中數(shù)據(jù)丟失、被篡改，大則系統(tǒng)硬件可能被破壞。由于每種惡意代碼在網(wǎng)絡(luò)傳播中的特點(diǎn)各不相同，攻擊階段也各不相同，如果采用傳統(tǒng)的針對內(nèi)容的檢測分析無法高效識別與普通代碼很相似的惡意代碼。

　　【摘要】文章針對惡意代碼的攻擊原理，介紹了對惡意代碼的檢測。通過因果關(guān)聯(lián)的分析原理檢測惡意代碼，提高對惡意代碼等網(wǎng)絡(luò)攻擊的安全防范意識，更新操作系統(tǒng)發(fā)布的最新安全漏洞補(bǔ)丁，修補(bǔ)操作系統(tǒng)安全漏洞；加強(qiáng)網(wǎng)絡(luò)共享管理；強(qiáng)化密碼設(shè)置，增強(qiáng)安全策略，加強(qiáng)密碼強(qiáng)度。

　　【關(guān)鍵詞】因果關(guān)聯(lián),惡意代碼,檢測

　　1前言

　　本文提出了一種基于因果關(guān)聯(lián)分析的方法來檢測惡意代碼，通過研究惡意代碼在網(wǎng)絡(luò)傳播中的攻擊模型，以因果關(guān)聯(lián)分析方法為理論依據(jù)，來檢測惡意代碼，這種方式提高了對惡意代碼的檢測效率，降低了檢測的誤報(bào)率，并且能夠兼容傳統(tǒng)的數(shù)據(jù)包特征匹配算法。

　　2簡介

　　2.1何為惡意代碼

　　Malware是惡意代碼的專業(yè)術(shù)語。惡意代碼Malware本質(zhì)是一段代碼，只是這段代碼含有一定的對計(jì)算機(jī)破壞的功能。惡意代碼一般是運(yùn)用計(jì)算機(jī)系統(tǒng)或者軟件的各種漏洞進(jìn)行破壞。一般表現(xiàn)形式是二進(jìn)制文件、腳本或者宏。

　　惡意代碼主要包括計(jì)算機(jī)后門、計(jì)算機(jī)病毒、特洛伊木馬、惡意移動代碼、蠕蟲、內(nèi)核套件和僵尸網(wǎng)絡(luò)等。

　　計(jì)算機(jī)后門是一種通過使用后門工具對目標(biāo)機(jī)器進(jìn)行控制的惡意代碼程序，它能夠繞開正常的安全控制機(jī)制。

　　計(jì)算機(jī)病毒的最大特點(diǎn)就是可以自我復(fù)制，具有一定感染性的一段病毒代碼。

　　特洛伊木馬：正如特洛伊歷史事件所描述的類似，該段代碼能夠偽裝成正常有用的軟件博取用戶信任，一旦用戶點(diǎn)擊打開，則暴露出惡意行徑的代碼。

　　惡意移動代碼：一般情況下，惡意移動代碼是部署在Web服務(wù)器端的，所以它基本不需要過多的人工干預(yù)。一旦訪問已經(jīng)部署惡意代碼的Web服務(wù)器，則本機(jī)就有可能被感染。

　　蠕蟲：和計(jì)算機(jī)病毒一樣具有自我復(fù)制性，將自身嵌套進(jìn)宿主程序中運(yùn)行的惡意代碼。

　　內(nèi)核套件：氛圍用戶態(tài)和內(nèi)核態(tài)兩種。一般通過替換或者修改系統(tǒng)中關(guān)鍵文件，獲取最高控制權(quán)的一類程序代碼。

　　僵尸網(wǎng)絡(luò)：具有網(wǎng)絡(luò)傳播性和惡意性，危害較大。中毒的計(jì)算機(jī)不是一臺，而是網(wǎng)絡(luò)上的多臺，感染范圍較大，該惡意代碼控制多臺網(wǎng)絡(luò)中的計(jì)算機(jī)，使其被感染的計(jì)算機(jī)如同僵尸一般受控制。

　　2.2惡意代碼工作原理

　　惡意代碼一般通過四種方式運(yùn)行：利用系統(tǒng)漏洞、嵌入其他文件、偽裝成有用文件和欺騙。惡意代碼可以通過自我復(fù)制傳染更多的主機(jī)文件或者網(wǎng)絡(luò)上的不同主機(jī)。傳播的介質(zhì)有網(wǎng)絡(luò)電子郵件、計(jì)算機(jī)中的網(wǎng)絡(luò)共享、移動介質(zhì)（U盤、移動硬盤等）、P2P共享、系統(tǒng)本身漏洞等。惡意代碼入侵主機(jī)后，可以通過修改系統(tǒng)設(shè)置成為系統(tǒng)開機(jī)自啟動項(xiàng)目中的其中一項(xiàng)，當(dāng)用戶每次開機(jī)時(shí)，就啟動惡意代碼進(jìn)行非法操作，如發(fā)起非法攻擊、記錄鍵盤和鼠標(biāo)事件、獲取用戶隱私等等。

　　電子郵件傳播的原理：電子郵件中HTML正文可能被嵌入惡意腳本；郵件附件攜帶病毒壓縮文件或者可執(zhí)行文件。

　　P2P共享：感染P2P共享文件夾，當(dāng)用戶在P2P文件夾中下載文件時(shí)，可能被感染。如WORM、PEERCOPY.A等惡意代碼。

　　網(wǎng)絡(luò)共享：惡意代碼程序中會存在自身的口令猜測邏輯進(jìn)行口令猜測，試圖訪問網(wǎng)絡(luò)共享中存在的文件夾，當(dāng)獲取到用戶名和密碼后，將自身惡意代碼拷貝到網(wǎng)絡(luò)共享中，并將自身命名為游戲等名稱吸引眼球，誘導(dǎo)用戶點(diǎn)擊觸發(fā)。

　　系統(tǒng)漏洞：由于操作系統(tǒng)本身有一些設(shè)計(jì)缺陷，導(dǎo)致被非法用戶通過非法方式利用，執(zhí)行惡意代碼，惡意代碼通過系統(tǒng)漏洞進(jìn)入系統(tǒng)，達(dá)到感染目的。如WebDAV漏洞、LocalSecurityAuthoritySubsystemService漏洞、RPC-DCOM緩沖區(qū)溢出漏洞等是經(jīng)常被利用的漏洞。3因果關(guān)聯(lián)分析

　　3.1因果關(guān)聯(lián)分析法

　　因果聯(lián)系即有因必有果，萬事萬物都是存在因果聯(lián)系的。任何結(jié)果的產(chǎn)生都是由因?qū)е碌�。因果�?lián)系中的事物是一種引起與被引起的關(guān)系。因果聯(lián)系理論目前應(yīng)用到很多領(lǐng)域，本文就是將因果聯(lián)系理論應(yīng)用到計(jì)算機(jī)惡意代碼的分析檢測中。

　　3.2因果關(guān)聯(lián)應(yīng)用到惡意代碼檢測

　　關(guān)聯(lián)特征過濾器的確定。將每個(gè)階段惡意代碼攻擊的數(shù)據(jù)包特征進(jìn)行正則描述，定義成關(guān)聯(lián)特征過濾器集合T={t1，t2，t3，……，tn}。

　　M個(gè)n維的向量表集合的確定。每個(gè)向量分量為8的倍數(shù)的二進(jìn)制碼，每個(gè)向量對于一個(gè)IP地址，n維代表共記錄了n種惡意攻擊。每個(gè)內(nèi)網(wǎng)IP地址對應(yīng)一個(gè)哈希值，惡意代碼對應(yīng)向量表中的其中一維，向量表中的一個(gè)單元表示與該內(nèi)網(wǎng)IP相關(guān)的數(shù)據(jù)包對惡意代碼的過濾情況。狀態(tài)向量集合表的某個(gè)位置被更新時(shí)，應(yīng)該判斷與狀態(tài)向量表位置相對于的因果關(guān)聯(lián)特征過濾器的某個(gè)位置是否相等，如果兩個(gè)值相等，則表明此時(shí)更新的是最終的狀態(tài)，如果兩個(gè)值不相等，則表明此時(shí)更新的不是最終的狀態(tài)。

　　數(shù)據(jù)包進(jìn)入n維度的關(guān)聯(lián)特征過濾器后進(jìn)行匹配分析，如果匹配則進(jìn)一步表名該惡意代碼具有因果關(guān)聯(lián)特征。

　　在因果關(guān)聯(lián)分析中，需要用到一種結(jié)構(gòu)，該結(jié)構(gòu)記錄了源IP地址，目的IP地址，惡意代碼第一次生成時(shí)間，最近一次清理的時(shí)間，惡意代碼編號，所處的攻擊階段等內(nèi)容信息。需要定期清理可疑IP組，每次清理后將剩下的IP組中的結(jié)構(gòu)更新，同時(shí)將狀態(tài)向量表對應(yīng)的二進(jìn)制碼歸零。這樣可以節(jié)省部分內(nèi)存空間，減少惡意代碼的誤報(bào)率。

　　需要注意的是，只需要存在一個(gè)n維的狀態(tài)向量表，就可以對應(yīng)n個(gè)因果關(guān)聯(lián)特征過濾器T1，T2，T3，……，Tn。

　　因果關(guān)聯(lián)分析法的惡意代碼檢測流程是：在網(wǎng)絡(luò)中讀取需要檢測的數(shù)據(jù)包，將數(shù)據(jù)包的來源IP與高度可疑的IP組相比較，如果發(fā)現(xiàn)該IP在高度可疑IP組中，則進(jìn)入關(guān)聯(lián)特征匹配，如果匹配結(jié)果為是，則進(jìn)一步處理數(shù)據(jù)包。處理數(shù)據(jù)包主要是判斷是否更新向量表，若內(nèi)網(wǎng)地址的數(shù)據(jù)分組與關(guān)聯(lián)特征過濾器中的成員特征成功匹配，那么內(nèi)網(wǎng)地址對應(yīng)的向量序號與對應(yīng)的惡意代碼進(jìn)行哈希計(jì)算。匹配結(jié)果放置到向量表中的條件是，檢測的數(shù)據(jù)包需要和一個(gè)關(guān)聯(lián)特征相匹配。具體流程如圖1所示。

　　4結(jié)束語

　　為了保障聯(lián)入網(wǎng)絡(luò)中的企業(yè)和個(gè)人能夠安全地進(jìn)行各項(xiàng)日常工作和活動，計(jì)算機(jī)安全技術(shù)，特別是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)正在飛速的發(fā)展。由于其互聯(lián)網(wǎng)本身的開發(fā)特性，當(dāng)今惡意代碼流行的趨勢是全球范圍的，攻擊速度越來越快，幾乎為零日攻擊，一般是幾種網(wǎng)絡(luò)攻擊方式聯(lián)合，對計(jì)算機(jī)網(wǎng)絡(luò)用戶造成了嚴(yán)重的安全威脅。針對惡意代碼的攻擊原理，聯(lián)入網(wǎng)絡(luò)中的企業(yè)、個(gè)人等組織應(yīng)該提高對惡意代碼等網(wǎng)絡(luò)攻擊的安全防范意識，網(wǎng)絡(luò)管理員應(yīng)該及時(shí)更新操作系統(tǒng)發(fā)布的最新安全漏洞補(bǔ)丁，修補(bǔ)操作系統(tǒng)安全漏洞，加強(qiáng)網(wǎng)絡(luò)共享管理，強(qiáng)化密碼設(shè)置，增強(qiáng)安全策略，加強(qiáng)密碼強(qiáng)度。

　　參考文獻(xiàn)

　　[1]曹躍，梁曉，李毅超，何子昂.基于差異分析的隱蔽惡意代碼檢測[J].計(jì)算機(jī)科學(xué)，2008.02.

　　[2]張甲，段海新，葛連升.基于事件序列的蠕蟲網(wǎng)絡(luò)行為分析算法[J].山東大學(xué)學(xué)報(bào)（理學(xué)版），2007.09.

　　[3]萬琳，廖飛雄，張威，李明亮.一種惡意代碼檢測方法的實(shí)現(xiàn)[A].第十四屆全國容錯(cuò)計(jì)算學(xué)術(shù)會議（CFTC'2011）論文集[C]，2011年.

---

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/zhinengkexuejishulw/29907.html