發(fā)布時間：2018-07-28 15:26

【摘要】：隨著國家信息技術(shù)的快速發(fā)展和綜合國力的提升,商業(yè)秘密信息和國家秘密信息成為了竊密者的重要攻擊對象。由于信息系統(tǒng)外部軟硬件國產(chǎn)化進(jìn)程還無法適應(yīng)當(dāng)前的技術(shù)發(fā)展和需要,因而為竊密者提供了大量的可利用的系統(tǒng)漏洞和攻擊途徑,其中,以惡意代碼為典型代表的攻擊方式在信息系統(tǒng)內(nèi)屢見不鮮,且攻擊方式不斷優(yōu)化。對于這些惡意代碼,一旦無法及時檢測和清除,輕者破壞信息系統(tǒng)的部分功能和應(yīng)用環(huán)境,重者則直接竊取敏感的涉密信息,給國家安全和經(jīng)濟(jì)建設(shè)造成嚴(yán)重的損失。為此,惡意代碼檢測技術(shù)已成為我國政府、軍隊和科研院所重點(diǎn)關(guān)注的研究問題。雖然人們對惡意代碼特征以及信息系統(tǒng)安全防護(hù)等相關(guān)技術(shù)進(jìn)行了長期研究,提出了各類有效技術(shù)及機(jī)制并試圖解決信息系統(tǒng)內(nèi)惡意代碼檢測與清除研究中所遇到的各類安全問題,但這些技術(shù)并沒有很好地適應(yīng)信息系統(tǒng)的綜合環(huán)境和特性。本文以信息系統(tǒng)內(nèi)惡意代碼基本特征為研究對象,以信息系統(tǒng)安全為研究內(nèi)容,從惡意代碼檢測的實用角度出發(fā),深入研究了可適應(yīng)信息系統(tǒng)環(huán)境,具有特殊攻擊性、潛伏性等特點(diǎn)的惡意代碼行為方式,并提出了綜合性的惡意代碼檢測方法。首先,以信息系統(tǒng)為例,應(yīng)用程序、進(jìn)程和服務(wù)比較單一,特別是文件、網(wǎng)絡(luò)、注冊表等訪問行為。為此,針對惡意代碼善于偽裝以及添加無序行為的方式來逃避檢測的情況,提出了運(yùn)用齊次隱馬爾可夫模型提高判斷惡意行為準(zhǔn)確性的方法。該方法通過對于危險行為特征的概率計算,能夠準(zhǔn)確地識別惡意代碼程序加殼以及無序干擾的偽裝方式,提高信息系統(tǒng)環(huán)境惡意代碼的檢測率。其次,在信息系統(tǒng)中,為了混淆惡意特征以及行為,惡意代碼往往會通過變種的方式,為此,提出了基于啟發(fā)式的惡意代碼檢測方法,通過靜態(tài)的行為特征,按照特征的判別熵進(jìn)行特征精簡,來比較所有與正常樣本存在差異的樣本。對于通過采用自修改代碼技術(shù)隱藏自身邏輯的惡意代碼,提出了使用虛擬機(jī)技術(shù)新生惡意代碼位置的方法,并調(diào)用靜態(tài)檢測部分進(jìn)行檢測,達(dá)到檢測自修改代碼未知惡意代碼的目的。最后,在信息系統(tǒng)中,惡意代碼最顯著的特征是自身隱蔽性,為了達(dá)到事前預(yù)防的最佳效果,提出了基于主機(jī)檢測的惡意代碼檢測方法,獲取常規(guī)情況下系統(tǒng)服務(wù)或應(yīng)用程序?qū)ο髮ο到y(tǒng)函數(shù)的調(diào)用層次樹,將實時情況下檢測得到的調(diào)用層次樹與常規(guī)模式下的調(diào)用層次樹進(jìn)行相似度比較,當(dāng)相似度超出閡值,則判定目前函數(shù)的調(diào)用行為是惡意的。特別對于利用一些常見應(yīng)用程序漏洞,而植入惡意代碼的可疑目標(biāo),能夠?qū)崿F(xiàn)主動發(fā)現(xiàn),并主動誘使惡意代碼進(jìn)行攻擊,進(jìn)而實現(xiàn)檢測。
[Abstract]:With the rapid development of national information technology and the promotion of comprehensive national strength, trade secret information and state secret information have become an important object of attack. Because the process of localization of external software and hardware of information system can not meet the current technological development and needs, it provides a large number of exploitable system vulnerabilities and attack channels for the burglars, among which, The attack mode represented by malicious code is common in the information system, and the attack mode is optimized constantly. For these malicious codes, once they can not be detected and cleared in time, the light ones destroy part of the functions and application environment of the information system, while the heavy ones directly steal sensitive confidential information, causing serious losses to national security and economic construction. Therefore, malicious code detection technology has become the focus of our government, military and research institutes. Although people have carried out long-term research on malicious code features and information system security protection and other related technologies, This paper puts forward various effective technologies and mechanisms and tries to solve all kinds of security problems encountered in the research of malicious code detection and clearance in information systems, but these technologies do not adapt well to the comprehensive environment and characteristics of information systems. This paper takes the basic characteristics of malicious code in information system as the research object, takes the security of information system as the research content, from the practical point of view of malicious code detection, deeply studies the adaptability to the information system environment, and has special aggression. This paper presents a comprehensive detection method of malicious code, which is characterized by latent behavior. First, take the information system as an example, the application, the process and the service are relatively single, especially the file, the network, the registry and so on access behavior. For this reason, aiming at the situation that malicious code is good at camouflage and adding disorder behavior to avoid detection, a method of improving the accuracy of malicious behavior by using homogeneous hidden Markov model is proposed. By calculating the probability of dangerous behavior characteristics, the method can accurately identify the malicious code program shell and disordered interference camouflage, and improve the detection rate of malicious code in information system environment. Secondly, in information systems, in order to confuse malicious features and behaviors, malicious code is often used in a variety of ways. Therefore, a heuristic based malicious code detection method is proposed, and static behavior features are used to detect malicious code. According to the discriminant entropy of the feature, the feature is reduced to compare all samples which are different from the normal samples. For malicious code which uses self-modifying code technology to hide its own logic, the method of using virtual machine technology to generate malicious code location is put forward, and the static detection part is called to detect the malicious code. To detect self-modified code unknown malicious code. Finally, in the information system, the most prominent feature of malicious code is its concealment. In order to achieve the best effect of prevention in advance, a method of malicious code detection based on host detection is proposed. The system service or application object's invoking hierarchical tree of system function is obtained in the general situation, and the similarity degree of the detected invocation hierarchy tree in real-time is compared with that of the calling hierarchy tree in the conventional mode. When the similarity exceeds the threshold value, the system service or application object invokes the hierarchical tree of the system function. It is determined that the calling behavior of the current function is malicious. Especially for embedding suspicious targets of malicious code by exploiting some common application vulnerabilities, we can realize active detection and actively induce malicious code to attack, and then realize detection.
【學(xué)位授予單位】：哈爾濱工程大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2016
【分類號】：TP309

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 孟雪梅,羅春水;論中小企業(yè)信息系統(tǒng)建設(shè)[J];情報科學(xué);2000年11期

2 田潔;戰(zhàn)略信息系統(tǒng)在企業(yè)業(yè)務(wù)層的應(yīng)用[J];中國信息導(dǎo)報;2000年08期

3 郭清順,李叢信,林冬梅;對信息系統(tǒng)建設(shè)中若干成功要素的分析[J];中山大學(xué)學(xué)報(自然科學(xué)版);2001年S1期

4 項振茂,胡建,郭雷英;談公安計算機(jī)信息系統(tǒng)建設(shè)[J];公安學(xué)刊(浙江公安高等�？茖W(xué)校學(xué)報);2002年03期

5 李健藝;鐵路企業(yè)發(fā)展信息系統(tǒng)的探討[J];甘肅科技縱橫;2003年02期

6 趙文;醫(yī)院信息系統(tǒng)的現(xiàn)狀與展望[J];山東電子;2003年02期

7 羅艷麗,何鐘j;醫(yī)院信息系統(tǒng)的建設(shè)與思考[J];醫(yī)學(xué)信息;2003年12期

8 本刊編輯部;信息系統(tǒng)100改變我們[J];信息系統(tǒng)工程;2003年12期

9 沈彤;;零售業(yè)信息系統(tǒng)的“真金”是什么[J];信息與電腦;2003年07期

10 馮偉;洪波;;對醫(yī)院信息系統(tǒng)建設(shè)的幾點(diǎn)建議[J];中國中醫(yī)藥現(xiàn)代遠(yuǎn)程教育;2004年10期

相關(guān)會議論文 前10條

1 寧家駿;;現(xiàn)行信息系統(tǒng)的評估問題[A];第十一屆全國數(shù)據(jù)庫學(xué)術(shù)會議論文集[C];1993年

2 EUgena Staffa;;有效的減災(zāi)信息系統(tǒng)[A];聯(lián)合國國際減輕自然災(zāi)害十年論文精選本論文集[C];2004年

3 劉敏豪;鄔倩倩;于興康;;醫(yī)院信息系統(tǒng)在我院門診調(diào)劑流程的應(yīng)用體會與思考[A];2014年廣東省藥師周大會論文集[C];2014年

4 李巖;;計算機(jī)信息系統(tǒng)的安全管理[A];第十八次全國計算機(jī)安全學(xué)術(shù)交流會論文集[C];2003年

5 韓東;孫大文;;一個信息系統(tǒng)生效模型及在我國企業(yè)的應(yīng)用分析[A];信息科學(xué)與微電子技術(shù):中國科協(xié)第三屆青年學(xué)術(shù)年會論文集[C];1998年

6 蔡連生;;淺析企業(yè)計算機(jī)信息系統(tǒng)的解決方案[A];第二屆全國特種電源與元器件年會論文集[C];2002年

7 張毅;許濤;;信息系統(tǒng)在醫(yī)療行業(yè)中的應(yīng)用[A];第六屆全國計算機(jī)應(yīng)用聯(lián)合學(xué)術(shù)會議論文集[C];2002年

8 胡石元;劉耀林;唐旭;劉洋;潘潤秋;;城鎮(zhèn)土地定級估價信息系統(tǒng)的設(shè)計與實現(xiàn)[A];新世紀(jì)土地問題研究[C];2002年

9 廖欣;;醫(yī)院信息系統(tǒng)建設(shè)引入信息工程監(jiān)理機(jī)制的探討[A];中國中醫(yī)藥信息研究會第二屆理事大會暨學(xué)術(shù)交流會議論文匯編[C];2003年

10 宋子嶺;;地質(zhì)信息系統(tǒng)的建立及其在礦業(yè)中的應(yīng)用[A];科技、工程與經(jīng)濟(jì)社會協(xié)調(diào)發(fā)展——中國科協(xié)第五屆青年學(xué)術(shù)年會論文集[C];2004年

相關(guān)重要報紙文章 前10條

1 蘇鳳軒;信息系統(tǒng)：物流的靈魂[N];中國交通報;2000年

2 張長青　姜金貴 史同波;悟透基于信息系統(tǒng)的體系作戰(zhàn)[N];中國國防報;2010年

3 本報記者 郝宏升　通訊員 侯俊 方麗玲;河南經(jīng)驗：信息系統(tǒng)，建得好更要用得好[N];國家電網(wǎng)報;2011年

4 商蓉蓉;信息系統(tǒng)：如何從“讓我用”到“我要用”[N];建筑時報;2013年

5 王甲佳;誰做企業(yè)信息系統(tǒng)的當(dāng)家人[N];中國信息化周報;2014年

6 本報記者 韓國卿;國內(nèi)保險信息系統(tǒng)需上臺階[N];中國保險報;2001年

7 尹伊儷;信息系統(tǒng)，，何去何從[N];中國建材報;2005年

8 楊周南;企業(yè)建立信息系統(tǒng)的三大誤區(qū)[N];財會信報;2005年

9 楊周南;信息系統(tǒng)的發(fā)展[N];財會信報;2005年

10 楊周南;建立信息系統(tǒng)的可行性分析體系[N];財會信報;2005年

相關(guān)博士學(xué)位論文 前10條

1 徐鋒;信息系統(tǒng)惡意代碼檢測關(guān)鍵技術(shù)研究[D];哈爾濱工程大學(xué);2016年

2 肖明;柴達(dá)木盆地枸杞質(zhì)量安全評估與信息系統(tǒng)建立研究[D];石河子大學(xué);2014年

3 吳明淵;某些Domain的信息系統(tǒng)和閉包空間表示[D];湖南大學(xué);2016年

4 王姣;組織間信息系統(tǒng)協(xié)同形成機(jī)理研究[D];吉林大學(xué);2008年

5 吳江;組織—信息系統(tǒng)互動動態(tài)網(wǎng)絡(luò)模擬研究[D];華中科技大學(xué);2009年

6 梁愛民;大型信息系統(tǒng)柔性體系框架多簇理論研究[D];鐵道部科學(xué)研究院;2004年

7 谷勇浩;信息系統(tǒng)風(fēng)險管理理論及關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2007年

8 楊文彩;企業(yè)信息化環(huán)境下人—信息系統(tǒng)交互效率影響因素及作用機(jī)理研究[D];重慶大學(xué);2007年

9 沈延森;快速可重構(gòu)信息系統(tǒng)及其關(guān)鍵技術(shù)研究[D];南京航空航天大學(xué);2001年

10 王素芬;信息系統(tǒng)中信息實現(xiàn)過程分析及建模[D];東華大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 楊麗娟;信息系統(tǒng)變更審計的探討[D];首都經(jīng)濟(jì)貿(mào)易大學(xué);2008年

2 高鵬飛;L勘察設(shè)計院信息化系統(tǒng)實施戰(zhàn)略規(guī)劃研究[D];昆明理工大學(xué);2015年

3 高杉;序信息系統(tǒng)的同態(tài)性質(zhì)[D];渤海大學(xué);2015年

4 劉公明;云計算環(huán)境下建筑設(shè)備物聯(lián)網(wǎng)信息系統(tǒng)的應(yīng)用研究[D];山東建筑大學(xué);2015年

5 伊善強(qiáng);海運(yùn)散裝化學(xué)品信息系統(tǒng)的研究與實現(xiàn)[D];大連海事大學(xué);2015年

6 王靜;走馬鎮(zhèn)衛(wèi)生院信息系統(tǒng)的設(shè)計與實現(xiàn)[D];華中師范大學(xué);2015年

7 劉中華;寶能集團(tuán)信息化組織架構(gòu)優(yōu)化研究[D];蘭州大學(xué);2015年

8 付勇;銀行大客戶管理信息系統(tǒng)的設(shè)計與實現(xiàn)[D];山東大學(xué);2015年

9 葛春華;信息系統(tǒng)在棒約翰的應(yīng)用研究[D];首都經(jīng)濟(jì)貿(mào)易大學(xué);2015年

10 劉鐘;現(xiàn)代農(nóng)業(yè)中的數(shù)字化信息系統(tǒng)[D];電子科技大學(xué);2015年

本文編號：2150704