论文部分内容阅读
网络安全技术是在恶意代码设计和防范技术的斗争中不断前进的。研究恶意代码的设计技术,掌握代码的行为模式,是网络安全防范的基础工作,通过分析恶意代码掌握特定恶意代码的特性和活动规律,能够为网络应急响应、计算机取证等工作提供必要信息。另外,设计具有恶意代码特征的程序,并通过网络获取军事、商业情报也是国家有关部门的重要工作。本文针对日益猖獗的恶意代码问题,系统地介绍了恶意代码设计技术、恶意代码分析技术、以及常用的恶意代码分析工具,并从恶意代码的实现技术和分析技术两个不同侧面进行了一系列的研究工作,取得了以下四个方面的研究成果:1、设计并实现了一个基于客户/服务器模式的恶意代码原型系统。主要研究了恶意代码的自主攻击技术、隐藏技术、繁殖升级技术和远程控制技术,并对恶意代码的攻击过程进行了改进。2、对恶意代码分析技术进行对比分析,提出了恶意代码分析流程。在对恶意代码分析方法进行分类的基础上,根据各种分析方法能够完成的分析任务、对分析人员的依赖程度、分析过程消耗的时间等各个方面对恶意代码的分析方法进行了性能比较,依据比较结果,提出了恶意代码的分析流程,并依据这个流程完成了对30多个实际恶意代码的分析。3、提出了基于可识别函数序列的恶意代码分析方法,并给出了分析模型。分析模型包括信息提取模型和判定分析模型。信息提取模型用来描述从恶意代码的执行体中提取可识别函数序列的方法,判定分析模型用来描述根据分析规则判断恶意代码功能的过程。4、设计了一套基于可识别函数序列的恶意代码分析软件和用于该软件的恶意代码知识库。该软件以反汇编为基础,是一个粗粒度的基于函数语义的静态分析软件,设计的目的是将基于语义的静态分析方法自动化,恶意代码知识库是用自行设计的恶意代码分析语言描述的恶意代码行为特征库。实践表明,本文提出的恶意代码分析流程,对恶意代码分析工作具有积极的指导意义,本文设计的基于可识别函数的恶意代码分析系统能够大大提高恶意代码分析工作的效率和分析结果的准确性。