發(fā)布時(shí)間：2018-07-28 15:26

【摘要】：隨著國(guó)家信息技術(shù)的快速發(fā)展和綜合國(guó)力的提升,商業(yè)秘密信息和國(guó)家秘密信息成為了竊密者的重要攻擊對(duì)象。由于信息系統(tǒng)外部軟硬件國(guó)產(chǎn)化進(jìn)程還無(wú)法適應(yīng)當(dāng)前的技術(shù)發(fā)展和需要,因而為竊密者提供了大量的可利用的系統(tǒng)漏洞和攻擊途徑,其中,以惡意代碼為典型代表的攻擊方式在信息系統(tǒng)內(nèi)屢見不鮮,且攻擊方式不斷優(yōu)化。對(duì)于這些惡意代碼,一旦無(wú)法及時(shí)檢測(cè)和清除,輕者破壞信息系統(tǒng)的部分功能和應(yīng)用環(huán)境,重者則直接竊取敏感的涉密信息,給國(guó)家安全和經(jīng)濟(jì)建設(shè)造成嚴(yán)重的損失。為此,惡意代碼檢測(cè)技術(shù)已成為我國(guó)政府、軍隊(duì)和科研院所重點(diǎn)關(guān)注的研究問(wèn)題。雖然人們對(duì)惡意代碼特征以及信息系統(tǒng)安全防護(hù)等相關(guān)技術(shù)進(jìn)行了長(zhǎng)期研究,提出了各類有效技術(shù)及機(jī)制并試圖解決信息系統(tǒng)內(nèi)惡意代碼檢測(cè)與清除研究中所遇到的各類安全問(wèn)題,但這些技術(shù)并沒(méi)有很好地適應(yīng)信息系統(tǒng)的綜合環(huán)境和特性。本文以信息系統(tǒng)內(nèi)惡意代碼基本特征為研究對(duì)象,以信息系統(tǒng)安全為研究?jī)?nèi)容,從惡意代碼檢測(cè)的實(shí)用角度出發(fā),深入研究了可適應(yīng)信息系統(tǒng)環(huán)境,具有特殊攻擊性、潛伏性等特點(diǎn)的惡意代碼行為方式,并提出了綜合性的惡意代碼檢測(cè)方法。首先,以信息系統(tǒng)為例,應(yīng)用程序、進(jìn)程和服務(wù)比較單一,特別是文件、網(wǎng)絡(luò)、注冊(cè)表等訪問(wèn)行為。為此,針對(duì)惡意代碼善于偽裝以及添加無(wú)序行為的方式來(lái)逃避檢測(cè)的情況,提出了運(yùn)用齊次隱馬爾可夫模型提高判斷惡意行為準(zhǔn)確性的方法。該方法通過(guò)對(duì)于危險(xiǎn)行為特征的概率計(jì)算,能夠準(zhǔn)確地識(shí)別惡意代碼程序加殼以及無(wú)序干擾的偽裝方式,提高信息系統(tǒng)環(huán)境惡意代碼的檢測(cè)率。其次,在信息系統(tǒng)中,為了混淆惡意特征以及行為,惡意代碼往往會(huì)通過(guò)變種的方式,為此,提出了基于啟發(fā)式的惡意代碼檢測(cè)方法,通過(guò)靜態(tài)的行為特征,按照特征的判別熵進(jìn)行特征精簡(jiǎn),來(lái)比較所有與正常樣本存在差異的樣本。對(duì)于通過(guò)采用自修改代碼技術(shù)隱藏自身邏輯的惡意代碼,提出了使用虛擬機(jī)技術(shù)新生惡意代碼位置的方法,并調(diào)用靜態(tài)檢測(cè)部分進(jìn)行檢測(cè),達(dá)到檢測(cè)自修改代碼未知惡意代碼的目的。最后,在信息系統(tǒng)中,惡意代碼最顯著的特征是自身隱蔽性,為了達(dá)到事前預(yù)防的最佳效果,提出了基于主機(jī)檢測(cè)的惡意代碼檢測(cè)方法,獲取常規(guī)情況下系統(tǒng)服務(wù)或應(yīng)用程序?qū)ο髮?duì)系統(tǒng)函數(shù)的調(diào)用層次樹,將實(shí)時(shí)情況下檢測(cè)得到的調(diào)用層次樹與常規(guī)模式下的調(diào)用層次樹進(jìn)行相似度比較,當(dāng)相似度超出閡值,則判定目前函數(shù)的調(diào)用行為是惡意的。特別對(duì)于利用一些常見應(yīng)用程序漏洞,而植入惡意代碼的可疑目標(biāo),能夠?qū)崿F(xiàn)主動(dòng)發(fā)現(xiàn),并主動(dòng)誘使惡意代碼進(jìn)行攻擊,進(jìn)而實(shí)現(xiàn)檢測(cè)。
[Abstract]:With the rapid development of national information technology and the promotion of comprehensive national strength, trade secret information and state secret information have become an important object of attack. Because the process of localization of external software and hardware of information system can not meet the current technological development and needs, it provides a large number of exploitable system vulnerabilities and attack channels for the burglars, among which, The attack mode represented by malicious code is common in the information system, and the attack mode is optimized constantly. For these malicious codes, once they can not be detected and cleared in time, the light ones destroy part of the functions and application environment of the information system, while the heavy ones directly steal sensitive confidential information, causing serious losses to national security and economic construction. Therefore, malicious code detection technology has become the focus of our government, military and research institutes. Although people have carried out long-term research on malicious code features and information system security protection and other related technologies, This paper puts forward various effective technologies and mechanisms and tries to solve all kinds of security problems encountered in the research of malicious code detection and clearance in information systems, but these technologies do not adapt well to the comprehensive environment and characteristics of information systems. This paper takes the basic characteristics of malicious code in information system as the research object, takes the security of information system as the research content, from the practical point of view of malicious code detection, deeply studies the adaptability to the information system environment, and has special aggression. This paper presents a comprehensive detection method of malicious code, which is characterized by latent behavior. First, take the information system as an example, the application, the process and the service are relatively single, especially the file, the network, the registry and so on access behavior. For this reason, aiming at the situation that malicious code is good at camouflage and adding disorder behavior to avoid detection, a method of improving the accuracy of malicious behavior by using homogeneous hidden Markov model is proposed. By calculating the probability of dangerous behavior characteristics, the method can accurately identify the malicious code program shell and disordered interference camouflage, and improve the detection rate of malicious code in information system environment. Secondly, in information systems, in order to confuse malicious features and behaviors, malicious code is often used in a variety of ways. Therefore, a heuristic based malicious code detection method is proposed, and static behavior features are used to detect malicious code. According to the discriminant entropy of the feature, the feature is reduced to compare all samples which are different from the normal samples. For malicious code which uses self-modifying code technology to hide its own logic, the method of using virtual machine technology to generate malicious code location is put forward, and the static detection part is called to detect the malicious code. To detect self-modified code unknown malicious code. Finally, in the information system, the most prominent feature of malicious code is its concealment. In order to achieve the best effect of prevention in advance, a method of malicious code detection based on host detection is proposed. The system service or application object's invoking hierarchical tree of system function is obtained in the general situation, and the similarity degree of the detected invocation hierarchy tree in real-time is compared with that of the calling hierarchy tree in the conventional mode. When the similarity exceeds the threshold value, the system service or application object invokes the hierarchical tree of the system function. It is determined that the calling behavior of the current function is malicious. Especially for embedding suspicious targets of malicious code by exploiting some common application vulnerabilities, we can realize active detection and actively induce malicious code to attack, and then realize detection.
【學(xué)位授予單位】：哈爾濱工程大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP309

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 孟雪梅,羅春水;論中小企業(yè)信息系統(tǒng)建設(shè)[J];情報(bào)科學(xué);2000年11期

2 田潔;戰(zhàn)略信息系統(tǒng)在企業(yè)業(yè)務(wù)層的應(yīng)用[J];中國(guó)信息導(dǎo)報(bào);2000年08期

3 郭清順,李叢信,林冬梅;對(duì)信息系統(tǒng)建設(shè)中若干成功要素的分析[J];中山大學(xué)學(xué)報(bào)(自然科學(xué)版);2001年S1期

4 項(xiàng)振茂,胡建,郭雷英;談公安計(jì)算機(jī)信息系統(tǒng)建設(shè)[J];公安學(xué)刊(浙江公安高等�？茖W(xué)校學(xué)報(bào));2002年03期

5 李健藝;鐵路企業(yè)發(fā)展信息系統(tǒng)的探討[J];甘肅科技縱橫;2003年02期

6 趙文;醫(yī)院信息系統(tǒng)的現(xiàn)狀與展望[J];山東電子;2003年02期

7 羅艷麗,何鐘j;醫(yī)院信息系統(tǒng)的建設(shè)與思考[J];醫(yī)學(xué)信息;2003年12期

8 本刊編輯部;信息系統(tǒng)100改變我們[J];信息系統(tǒng)工程;2003年12期

9 沈彤;;零售業(yè)信息系統(tǒng)的“真金”是什么[J];信息與電腦;2003年07期

10 馮偉;洪波;;對(duì)醫(yī)院信息系統(tǒng)建設(shè)的幾點(diǎn)建議[J];中國(guó)中醫(yī)藥現(xiàn)代遠(yuǎn)程教育;2004年10期

相關(guān)會(huì)議論文 前10條

1 寧家駿;;現(xiàn)行信息系統(tǒng)的評(píng)估問(wèn)題[A];第十一屆全國(guó)數(shù)據(jù)庫(kù)學(xué)術(shù)會(huì)議論文集[C];1993年

2 EUgena Staffa;;有效的減災(zāi)信息系統(tǒng)[A];聯(lián)合國(guó)國(guó)際減輕自然災(zāi)害十年論文精選本論文集[C];2004年

3 劉敏豪;鄔倩倩;于興康;;醫(yī)院信息系統(tǒng)在我院門診調(diào)劑流程的應(yīng)用體會(huì)與思考[A];2014年廣東省藥師周大會(huì)論文集[C];2014年

4 李巖;;計(jì)算機(jī)信息系統(tǒng)的安全管理[A];第十八次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2003年

5 韓東;孫大文;;一個(gè)信息系統(tǒng)生效模型及在我國(guó)企業(yè)的應(yīng)用分析[A];信息科學(xué)與微電子技術(shù):中國(guó)科協(xié)第三屆青年學(xué)術(shù)年會(huì)論文集[C];1998年

6 蔡連生;;淺析企業(yè)計(jì)算機(jī)信息系統(tǒng)的解決方案[A];第二屆全國(guó)特種電源與元器件年會(huì)論文集[C];2002年

7 張毅;許濤;;信息系統(tǒng)在醫(yī)療行業(yè)中的應(yīng)用[A];第六屆全國(guó)計(jì)算機(jī)應(yīng)用聯(lián)合學(xué)術(shù)會(huì)議論文集[C];2002年

8 胡石元;劉耀林;唐旭;劉洋;潘潤(rùn)秋;;城鎮(zhèn)土地定級(jí)估價(jià)信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];新世紀(jì)土地問(wèn)題研究[C];2002年

9 廖欣;;醫(yī)院信息系統(tǒng)建設(shè)引入信息工程監(jiān)理機(jī)制的探討[A];中國(guó)中醫(yī)藥信息研究會(huì)第二屆理事大會(huì)暨學(xué)術(shù)交流會(huì)議論文匯編[C];2003年

10 宋子嶺;;地質(zhì)信息系統(tǒng)的建立及其在礦業(yè)中的應(yīng)用[A];科技、工程與經(jīng)濟(jì)社會(huì)協(xié)調(diào)發(fā)展——中國(guó)科協(xié)第五屆青年學(xué)術(shù)年會(huì)論文集[C];2004年

相關(guān)重要報(bào)紙文章 前10條

1 蘇鳳軒;信息系統(tǒng)：物流的靈魂[N];中國(guó)交通報(bào);2000年

2 張長(zhǎng)青　姜金貴 史同波;悟透基于信息系統(tǒng)的體系作戰(zhàn)[N];中國(guó)國(guó)防報(bào);2010年

3 本報(bào)記者 郝宏升　通訊員 侯俊 方麗玲;河南經(jīng)驗(yàn)：信息系統(tǒng)，建得好更要用得好[N];國(guó)家電網(wǎng)報(bào);2011年

4 商蓉蓉;信息系統(tǒng)：如何從“讓我用”到“我要用”[N];建筑時(shí)報(bào);2013年

5 王甲佳;誰(shuí)做企業(yè)信息系統(tǒng)的當(dāng)家人[N];中國(guó)信息化周報(bào);2014年

6 本報(bào)記者 韓國(guó)卿;國(guó)內(nèi)保險(xiǎn)信息系統(tǒng)需上臺(tái)階[N];中國(guó)保險(xiǎn)報(bào);2001年

7 尹伊儷;信息系統(tǒng)，，何去何從[N];中國(guó)建材報(bào);2005年

8 楊周南;企業(yè)建立信息系統(tǒng)的三大誤區(qū)[N];財(cái)會(huì)信報(bào);2005年

9 楊周南;信息系統(tǒng)的發(fā)展[N];財(cái)會(huì)信報(bào);2005年

10 楊周南;建立信息系統(tǒng)的可行性分析體系[N];財(cái)會(huì)信報(bào);2005年

相關(guān)博士學(xué)位論文 前10條

1 徐鋒;信息系統(tǒng)惡意代碼檢測(cè)關(guān)鍵技術(shù)研究[D];哈爾濱工程大學(xué);2016年

2 肖明;柴達(dá)木盆地枸杞質(zhì)量安全評(píng)估與信息系統(tǒng)建立研究[D];石河子大學(xué);2014年

3 吳明淵;某些Domain的信息系統(tǒng)和閉包空間表示[D];湖南大學(xué);2016年

4 王姣;組織間信息系統(tǒng)協(xié)同形成機(jī)理研究[D];吉林大學(xué);2008年

5 吳江;組織—信息系統(tǒng)互動(dòng)動(dòng)態(tài)網(wǎng)絡(luò)模擬研究[D];華中科技大學(xué);2009年

6 梁愛(ài)民;大型信息系統(tǒng)柔性體系框架多簇理論研究[D];鐵道部科學(xué)研究院;2004年

7 谷勇浩;信息系統(tǒng)風(fēng)險(xiǎn)管理理論及關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2007年

8 楊文彩;企業(yè)信息化環(huán)境下人—信息系統(tǒng)交互效率影響因素及作用機(jī)理研究[D];重慶大學(xué);2007年

9 沈延森;快速可重構(gòu)信息系統(tǒng)及其關(guān)鍵技術(shù)研究[D];南京航空航天大學(xué);2001年

10 王素芬;信息系統(tǒng)中信息實(shí)現(xiàn)過(guò)程分析及建模[D];東華大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 楊麗娟;信息系統(tǒng)變更審計(jì)的探討[D];首都經(jīng)濟(jì)貿(mào)易大學(xué);2008年

2 高鵬飛;L勘察設(shè)計(jì)院信息化系統(tǒng)實(shí)施戰(zhàn)略規(guī)劃研究[D];昆明理工大學(xué);2015年

3 高杉;序信息系統(tǒng)的同態(tài)性質(zhì)[D];渤海大學(xué);2015年

4 劉公明;云計(jì)算環(huán)境下建筑設(shè)備物聯(lián)網(wǎng)信息系統(tǒng)的應(yīng)用研究[D];山東建筑大學(xué);2015年

5 伊善強(qiáng);海運(yùn)散裝化學(xué)品信息系統(tǒng)的研究與實(shí)現(xiàn)[D];大連海事大學(xué);2015年

6 王靜;走馬鎮(zhèn)衛(wèi)生院信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];華中師范大學(xué);2015年

7 劉中華;寶能集團(tuán)信息化組織架構(gòu)優(yōu)化研究[D];蘭州大學(xué);2015年

8 付勇;銀行大客戶管理信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];山東大學(xué);2015年

9 葛春華;信息系統(tǒng)在棒約翰的應(yīng)用研究[D];首都經(jīng)濟(jì)貿(mào)易大學(xué);2015年

10 劉鐘;現(xiàn)代農(nóng)業(yè)中的數(shù)字化信息系統(tǒng)[D];電子科技大學(xué);2015年

本文編號(hào)：2150705