恶意代码检测(转)
研究背景
自第一个计算机病毒出现以来,计算机用户就被其所困扰。近几年,随着网络技术的发展,蠕虫也给人们带来了很大的麻烦,曾造成整个互联网拥塞,部分服务无法进行。特洛伊木马也曾给一些企业带来惨重的损失,信用卡密码被盗,源代码泄漏等。近期以来,ActiveX、Jave Applet和网页病毒等也给上网用户带来很大的不便。
这些恶意代码已经给IT产业界带来巨大的损失,研究如何对付这些恶意代码刻不容缓。
研究现状
目前,在反恶意代码研究中,反病毒软件是人们研究时间最长的。现在商用的反病毒软件采用的都是“特征码”检测技术,即当发现一种新的病毒后,采集其样本,分析其代码,提取其特征码,然后加入到病毒特征库中去,进行病毒扫描时就是拿库里的特征码去匹配,匹配成功,则报告发现病毒。目前的反病毒软件能检测一定数量特洛伊木马等恶意代码。
但是特征码检测技术有着致命的弱点,即它只能检测已知的恶意代码,当新的恶意代码出现时,它是无能为力的。因而,业界提出了如何预防和检测新的恶意代码,目前采用最多的是启发式检测算法。
根据掌握的资料,目前,人们在预防和检测新的恶意代码时,主要采用的技术有:逆向工程方法、数据挖掘方法、人工免疫方法等。
逆向工程主要是采用反汇编的技术,将新的软件进行分析,以判断其是否具有可疑行为,采用的技术手段主要是“切片(slicing )”技术和特定代码执行序列技术。
数据挖掘技术主要是采用了数据挖掘中的分类技术,从大量的恶意代码样本中进行训练,利用统计学中的朴素贝页斯公式(naïve Bayes)进行分析,最后达到能识别恶意代码的目的。
人工免疫技术主要是利用人体免疫机制和计算机安全的相似性,将人体免疫学的原理应用到计算机安全中。这种仿生学的方法在许多科研领域中都取得了骄人的成绩。
研究内容
1.特征码检测方法研究
特征码检测技术在检测已知恶意代码中,具有方法检测、速度快等优点,为广大反病毒厂商所采用,技术也比较成熟。这种方法的最大工作量在于特征码的搜集和分析,我们团队现阶段不可能进行这样的工作,因此我们采用逆向工程方法,获得特征码数据库。对逆向工程感兴趣的人员可以研究这个工作。
2.启发式算法研究
由于目前的启发式算法都还处在一个研究阶段,真正能够应用到商业软件中的还比较少。在目前的这么多中研究流派中,研究哪种技术比较有前途,能应用到商业软件中。对启发式算法感兴趣的人员可以从事这方面的工作。
3.特洛伊木马的检测
目前,反病毒软件种类繁多,但是专门反特洛伊木马的软件还很少,特别在国内。而在政府和军队部门,对反特洛伊软件的需求较大,因为,特洛伊木马具有信息的泄密性,危害更大,所以专门提出反特洛伊木马研究。特洛伊木马有其独特的属性,可以根据其特有的属性来进行检测。研究特洛伊木马可以深入的理解操作系统、计算机网络等。对特洛伊研究感兴趣的人员可以从事这方面的研究。
4.个人主机保护系统
在开放的网络环境下,上网用户都有一种不安全感,特别对于非计算机专业的用户来讲,如果有一个个人主机系统安全监控保护软件,会更好的保证用户的安全。我们可以将lockdown2000,PGP以及个人防护墙的部分功能结合起来,做成一个个人主机保护系统。对系统监控,数据加密感兴趣的人员可以从事这方面的研究。