论文部分内容阅读
在信息化高度发展的现代社会,各个领域对计算机信息系统的依赖度越来越高。然而,计算机系统并不是绝对安全的,其不安全因素有计算机信息系统自身的,也有人为的,计算机病毒的高度隐藏性、快速传播性和严重的破坏性使其成为影响计算机系统使用的最不安全的因素。要设计出更好的抗病毒方案,一方面需要充分了解计算机病毒的传播过程,另一方面需要设计出高效的检测方法。因此,研究计算机病毒的传播模型及检测技术成为反病毒工作的重要任务。通过移动存储介质传播的计算机病毒传播模型研究还处于初始阶段,本文称此类病毒为U盘病毒,针对U盘病毒提出新型传播模型,并在模型分析基础上设计出基于异常检测的U盘病毒预防策略。另一方面针对未知病毒难检测问题提出有效的未知病毒检测方案。首先,本文对计算机病毒的研究背景、意义、现状及发展趋势做了概括。对现有病毒传播模型进行了分析比较,且详细介绍了现有的计算机病毒防御检测技术。其次,详细分析了U盘病毒的传播过程及影响因素,将U盘状态加入到模型的研究中,定义了两个方向上新的感染率函数,从而得出U盘病毒的传播模型U-SEIR。研究了模型的稳定性、U盘病毒传播的高潮时刻及各因素对病毒传播的影响。从理论和实验的角度分析了控制病毒传播的条件。并且,针对U盘病毒两个方向上感染率不同这一情况,设计出两个方向上的U盘病毒检测方案,从而快速有效的预防U盘病毒的传播。再次,支持向量机检测未知病毒具有速度快,所需样本少的优点。本文针对支持向量机检测未知病毒时样本不完整的缺陷,经深入分析计算机病毒对Win32API函数的使用后,定义出API函数的危险等级。利用危险等级计算弥补支持向量机样本不完整的缺点,从而达到检测时间短和准确率高兼具的检测效果。最后,针对原始攻击树对检测木马的优点及不能动态调整的缺点,提出一种基于动态攻击树的木马检测方法。对木马常用API函数进行了深入分析,分类并总结其规律后建模攻击树,用攻击树对木马进行识别,并设计词汇分析法分解API函数来实现攻击树的动态添加。该方法能够检测未知木马和已知木马的变种,符合当前反病毒技术的发展需要。