目前,常用的惡意軟體檢測技術有特徵碼檢測技術、校驗和技術、行為分析技術、虛擬機器技術、啟發式檢測技術等。
特徵碼檢測技術依賴鄰域專家的行業經驗和個人能力提取惡意軟體的特徵碼,讓該特徵碼唯一性的對映到對應的惡意軟體。該技術的前提 是必須先捕獲惡意軟體樣本,捕獲樣本的常見方法有使用者上報、蜜罐技術、定向採集等,然後根據惡意軟體樣本進行特徵碼抽取,在抽取時需要遵循「在保持特徵**唯一性的前提下,盡量使特徵**長度短些,以減少時空開銷」的原則。
校驗和技術採用檔案的校驗和作為檢測惡意軟體的依據,在系統中建立新檔案時,計算並儲存正常檔案的校驗和。在檔案使用時,計算檔案當前的校驗和,並將其與先前的校驗和進行比較,如果不一致,判斷該檔案感染了惡意軟體。
行為分析技術採用行為特徵序列來作為判別惡意軟體的依據,根據鄰域專家多年經驗找出惡意軟體的一些共通性行為來建立行為序列特徵庫。該技術在檢測惡意軟體時,監測程式執行過程中產生的行為資訊,分析程式的執行流程及其對系統的影響,構建程式行為特徵序列,並將該行為序列與特徵庫進行比較,如有一致,則判斷正在執行的程式為惡意軟體。
虛擬機器技術採用程式**虛擬cpu暫存器和硬體埠,用除錯程式調入可疑惡意程式樣本,將每個語句放到虛擬環境中執行,通過虛擬的記憶體、暫存器以及埠的變化來了解程式的執行,可以讓變種病毒特別是加密病毒自動解密露出原形,而不用研究各個惡意軟體的解密演算法及金鑰。
啟發式檢測技術採用鄰域專家分析的經驗,建立經典指令集,如典型感染指令集、典型傳播指令集、典型破壞指令集等,對每個經典指令集賦以不同的權值。在檢測惡意軟體時,在用惡意軟體特徵碼未查到已知惡意軟體的情況下,再搜尋這個指令集庫,如果找到符合的記錄的權值之和超過某一閾值,則判斷被檢測檔案是惡意軟體。啟發式檢測技術能夠對特徵碼檢測技術形成有效補充。
對惡意軟體的特徵表達通常有靜態特徵和動態特徵兩種表達方式
靜態特徵指在不執行程式的情況下,將程式的指令、**、控制流或者其他特徵抽取出來。
該方法優點是:樣本覆蓋率高,提取速度快。缺點是:對於一些採用變形或多型技術的惡意軟體識別需要多角度分析。
動態特徵指將程式在真實環境或虛擬環境下執行起來,並監視其各種行為。
該方法的優點是:能準確捕獲執行程式的行為,對採用變形或多型技術的惡意軟體具有較強的識別能力。缺點是:樣本覆蓋率低,特徵提取速度慢。
特徵提取一定要有效、自動、高效,因此靜態特徵更適合於作為大規模樣本識別的特徵表達。
下面介紹從引入表中靜態提取pe檔案(可移植的可執行的檔案)所包含的win api函式的具體提取步驟:
檢驗檔案是否是有效的pe→從dos header 定位到pe header→獲取位於optional header 的資料目錄位址→轉至資料目錄的第二個成員,提取其virtual address值→利用上值定位第乙個image_import_descriptor結構→檢查originalfirstthunk值:若不為0,沿著originalfirstthunk裡的rva值轉入rva對應的陣列;否則,改用firstthunk值→對每個陣列元素,判斷其元素值的最高二進位制是否為1,若是,則函式是由序數引入的,可以從該值的低位元組提取序數;若不是(既元素值的最高二進位制位為0),則可將該值作為rva轉入image_import_by_name陣列,跳過hint即為函式名。→跳至下乙個陣列元素提取函式名一直到陣列底部(以null結尾)→當遍歷完乙個dll的引入函式,接下去處理下乙個dll;既跳轉到下乙個image_import_descriptor並處理它,迴圈直到陣列底部(image_import_descriptor陣列以乙個全0域元素結尾)
檔案字串特徵是指pe檔案中同一字符集的連續字串行,檔案字串特徵提取方法為:通過反編譯pe檔案,從檔案頭開始讀取檔案連續的字元,直到遇見「0x00」或字元與前面的字串行不在同乙個字符集為止。
可以按照檔案資源的樹狀結構進行相應資源資訊的提取,提取的資源資訊主要有:cursor\bitmap\icon\menu\dialog等。提取後的資源資訊,轉換為整型向量,並儲存於資料庫中以便相應的分類演算法進行學習。
檔案的指令資訊是指將檔案進行反彙編之後,從其**段提取相應的彙編指令資訊。
常用分類演算法:決策樹歸納演算法、樸素貝葉斯演算法、k-近鄰分類演算法、整合分類器boosted j4.8等
常用聚類演算法:k-均值聚類、層次聚類等
1.層次聚類方法在惡意軟體歸類中的應用
(1)惡意軟體特徵 (2)行為特徵近似度計算 (3)構建層次聚類關係樹 (4) 惡意軟體歸類
加權子空間的k-medoids聚類方法在惡意軟體歸類的應用
(1)提取樣本檔案特徵 (2)使用聚類演算法
1.釣魚**檢測技術
(1)基於黑白名單的釣魚**檢測技術
該技術核心在於維護黑名單庫,在庫**現的url/ip被認為是不可信的。
優點:高效、準確、簡單缺點:滯後性、失效率高
(2)基於頁面的啟發式釣魚檢測技術
該演算法從各個方面挖掘釣魚**頁面存在的特徵,利用機器學習演算法和訓練樣本對分類模型進行訓練,從而區別正常網頁和釣魚網頁。
(3)基於視覺相似的釣魚檢測技術
主要有:基於html的檢測、基於網頁影象的檢測
網路安全中的資料探勘技術(3)
1 誤用檢測 誤用檢測又稱為特徵檢測,它將已知的入侵活動用一種模式來表示,形成網路攻擊特徵庫,或稱為網路攻擊規則庫。該方法對輸入的待分析資料來源進行適當處理,提取其特徵,並將這些特徵與網路攻擊特徵庫中的特徵進行比較,如果發現匹配的特徵,則指示發生了一次入侵行為。優點 誤報率低 能夠準確的識別已知的攻...
網路安全的認證技術
網路認證技術是網路安全技術的重要組成部分之一。認證指的是證實被認證物件是否屬實和是否有效的乙個過程。其基本思想是通過驗證被認證物件的屬性來達到確認被認證物件是否真實有效的目的。被認證物件的屬性可以是口令 數字簽名或者象指紋 聲音 視網膜這樣的生理特徵。認證常常被用於通訊雙方相互確認身份,以保證通訊的...
網路管理與網路安全技術
internet服務提供者 isp 是internet接入服務的提供者,任何使用者都需要使用isp提供的接入服務 adsl接入使用的接入裝置是adsl數據機,最大傳輸速度為8mb s 優點 不需要特殊的傳輸線路,只需要使用 線,常用於家庭使用者 混合光纖同軸電纜網,是一種經濟實用的綜合數字服務寬頻網...