共查询到20条相似文献,搜索用时 31 毫秒
1.
2.
新出现的恶意代码大部分是在原有恶意代码基础上修改转换而来.许多变形恶意代码更能自动完成该过程,由于其特征码不固定,给传统的基于特征码检测手段带来了极大挑战.采用归一化方法,并结合使用传统检测技术是一种应对思路.本文针对指令乱序这种常用变形技术提出了相应的归一化方案.该方案先通过控制依赖分析将待测代码划分为若干基本控制块,然后依据数据依赖图调整各基本控制块中的指令顺序,使得不同变种经处理后趋向于一致的规范形式.该方案对指令乱序的两种实现手段,即跳转法和非跳转法,同时有效.最后通过模拟测试对该方案的有效性进行了验证. 相似文献
3.
4.
传统的恶意代码检测方法通常以固定的指令或字节序列这些具体特征作为检测依据,因此难以检测变形恶意代码.使用抽象特征是解决该问题的一个思路.本文针对恶意代码常用的变形技术,即等价指令替换、垃圾代码插入以及指令乱序进行研究.定义了一种抽象特征,同时提出了依据该抽象特征检测变形恶意代码的方法.最后,以典型变形病毒Win32.Evol为对象进行了实验,将该方法与其它方法进行了对比.实验结果验证了该方法的有效性. 相似文献
5.
基于语义的恶意代码行为特征提取及检测方法 总被引:5,自引:0,他引:5
提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力. 相似文献
6.
7.
左黎明 《计算机技术与发展》2008,18(9)
Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害.对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案.实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义. 相似文献
9.
10.
恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪.通过溯源可快速定位攻击来源或者攻击者,对攻击者产生一定的震慑打击作用,具有遏制黑客攻击、完善网络安全保障体系的重要作用和价值.近年来,网络安全形势愈加严峻,归类总结了学术界和产业界在恶意代码溯源领域的研究工作,首先揭示了恶意代码的编码特性以及演化特性,并分析这些特性与溯源的关系;然后,分别从学术界和产业界对恶意代码的溯源技术和研究进行梳理,同时对每个溯源阶段的作用以及影响程度进行了讨论,并对目前恶意代码的溯源对抗手段进行分析;最后讨论了恶意代码溯源技术面对的挑战和未来的发展趋势. 相似文献
11.
主要应用CiteSpace可视化工具,以近16年在恶意代码检测领域的CNKI中文期刊数据和WOS数据为研究对象,基于文献计量内容分析方法系统地回顾了国内外在恶意代码检测领域的关注点、研究脉络的发展规律、存在的共性与差异性和研究现状。通过对比国内外恶意代码检测的研究进展,可以发现目前恶意代码检测的研究处于增长阶段,并且研究主要关注领域为手机客户端和WEB应用安全等。同时,恶意代码检测研究目前存在的典型问题也暴露出来。展望了恶意代码检测研究可能的发展方向,为国内相关的研究提供参考。 相似文献
12.
14.
15.
16.
17.
18.
19.
2009年9月以来根据CNCERT检测指出,国内网络安全形势略有好转,通过数据显示,以网络篡改行为为主的安全事件与上月相比有了明显的下降,然而僵尸网络数量依然有大幅上升,对于网络安全风险依然要保持高度的警惕。 相似文献