資源描述:
《基于網(wǎng)絡(luò)的惡意代碼檢測(cè)技術(shù)》由會(huì)員上傳分享���,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)��。
1����、第11期吳冰等:基于網(wǎng)絡(luò)的惡意代碼檢測(cè)技術(shù)·91·基于網(wǎng)絡(luò)的惡意代碼檢測(cè)技術(shù)吳冰1,云曉春2��,高琪1(1.哈爾濱工業(yè)大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)研究中心��,黑龍江哈爾濱150001��;2.中國(guó)科學(xué)院計(jì)算技術(shù)研究所��,北京100080)摘 要:通過(guò)對(duì)傳統(tǒng)分布式IDS的分析���,指出基于詳細(xì)協(xié)議分析的多引擎小規(guī)則集的系統(tǒng)結(jié)構(gòu)用于網(wǎng)絡(luò)級(jí)惡意代碼檢測(cè)的缺陷����,設(shè)計(jì)了單引擎大特征集的網(wǎng)絡(luò)級(jí)惡意代碼檢測(cè)模型及惡意代碼特征描述語(yǔ)言�����;分析了網(wǎng)絡(luò)數(shù)據(jù)流的特征,通過(guò)對(duì)特征串進(jìn)行優(yōu)化的方法���,避免特征串后綴與數(shù)據(jù)流的頻繁碰撞及鏈表分支不平衡的問(wèn)題��,大幅度提高了WM算法檢測(cè)網(wǎng)絡(luò)惡意代碼的效
2、率����。關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);惡意代碼檢測(cè)�����;檢測(cè)模型����;模式集優(yōu)化中圖分類號(hào):TN393.08文獻(xiàn)標(biāo)識(shí)碼:B文章編號(hào):1000-436X(2007)11-0087-05Network-basedmalcodedetectiontechnologyWUBing1,YUNXiao-chun2,GAOQi1(1.ResearchCenterofComputerNetworkandInformationSecurityTechnology,HarbinInstituteofTechnology,Harbin150001,China;2.InstituteofCompu
3、tingTechnology,ChineseAcademyofSciences,Beijing100080,China)Abstract:FollowingtheanalysisfortraditionaldistributedIDS,disadvantagesthatapplyingstructureofmultipleengineandsmallrulessettodetectnetwork-levelmalcodewerepointedout,whichisbasedondetailedprotocoldecoding.Detectionmode
4�、landanti-malcodemarkuplanguageofnetwork-levelmalcodeweredesignedforsingleengineandbigrulesset.Thecharacteristicsofnetworkdataflowwereanalyzed.Byoptimizationofpatterns,frequentcollisionsbetweensuffixwithdataflowandunbalancedbranchedofchainedlistwereavoided.TheefficiencybyusingWMa
5、lgorithmtodetectmalcodeonnetworklevelcanberemarkablyincreased.Keywords:computernetwork;malcodedetection;detectionmodel;pattern-setoptimization第11期吳冰等:基于網(wǎng)絡(luò)的惡意代碼檢測(cè)技術(shù)·91·1引言收稿日期:2007-06-16���;修回日期:2007-10-20根據(jù)Gilder定律����,互聯(lián)網(wǎng)帶寬以每6個(gè)月翻一番的速度持續(xù)提高[1]。與此同時(shí)����,互聯(lián)網(wǎng)上傳播的惡意代碼也與日俱增,每日新增加的惡意代碼樣本都在上百個(gè)�����,截至2
6�、007年6月底,Kaspersky反病毒軟件的病毒特征庫(kù)已經(jīng)達(dá)到35萬(wàn)余條(根據(jù)Kasperskyv6.0.0.307病毒庫(kù)2007年6月29日統(tǒng)計(jì))�����。實(shí)踐證明���,由于網(wǎng)絡(luò)帶寬的增長(zhǎng)��,單純采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)或傳統(tǒng)反病毒技術(shù)都無(wú)法對(duì)網(wǎng)絡(luò)惡意代碼的檢測(cè)提供有效支持��。第11期吳冰等:基于網(wǎng)絡(luò)的惡意代碼檢測(cè)技術(shù)·91·目前大型的骨干網(wǎng)惡意代碼檢測(cè)往往與IDS技術(shù)融合��,一般采用分布式IDS技術(shù)進(jìn)行部署�。分布式IDS系統(tǒng)根據(jù)已定義的模式,對(duì)基本攻擊事件����、特征事件(惡意代碼事件)、異常事件進(jìn)行匹配檢測(cè)���,并生成事件日志供分析決策�����。由于安全事件特征數(shù)量限制��,IDS系統(tǒng)
7��、除了對(duì)基本攻擊事件����、流量異常事件進(jìn)行檢測(cè)外,只能對(duì)有限數(shù)量的特定的網(wǎng)絡(luò)惡意代碼進(jìn)行檢測(cè)�����,因此基于分布式IDS技術(shù)的惡意代碼檢測(cè)系統(tǒng)無(wú)法對(duì)網(wǎng)絡(luò)上的惡意代碼疫情進(jìn)行全面的分析和統(tǒng)計(jì)���;而傳統(tǒng)的反病毒技術(shù)是文件級(jí)的檢測(cè)技術(shù)��,骨干網(wǎng)上并發(fā)數(shù)據(jù)流每秒數(shù)以百萬(wàn)計(jì)����,因此以文件還原為前提的惡意代碼檢測(cè)技術(shù)將會(huì)導(dǎo)致巨大的計(jì)算存儲(chǔ)開(kāi)銷[2]����。本文針對(duì)骨干網(wǎng)惡意代碼檢測(cè)所帶來(lái)的挑戰(zhàn)性問(wèn)題,研究網(wǎng)絡(luò)級(jí)惡意代碼檢測(cè)模型�����,運(yùn)用特征碼優(yōu)化的思想實(shí)現(xiàn)高性能的網(wǎng)絡(luò)級(jí)惡意代碼檢測(cè)引擎�。2網(wǎng)絡(luò)級(jí)惡意代碼檢測(cè)模型2.1傳統(tǒng)網(wǎng)絡(luò)IDS模型檢測(cè)網(wǎng)絡(luò)惡意代碼的弊端傳統(tǒng)IDS技術(shù)的本質(zhì)是面向協(xié)議分析的
8、�����,匹配速度一直是IDS技術(shù)需要解決的核心瓶頸問(wèn)題。由于檢測(cè)算法的時(shí)間復(fù)雜度與特征串的條數(shù)呈正相
