文档介绍:第 27卷第 5期
2010年 5月
�
计算机应用与软件
ComputrApplcatonsandSofwar
�
May2010
基于分布式结构的网络恶意代码智能分析系统
高宇莫有权李庆荣李祥和
(信息工程大学信息工程学院河南郑州 450002)
摘要对变形特征码进行归一化处理,改进 WM算法,运用启发式扫描、仿真、虚拟化、主动防御等前沿的恶意代码分析技术,
采用分布式的设计结构,设计了具有完备恶意代码特征码数据库、高效特征码匹配、自动捕获和控制恶意行为、平衡的资源消耗、较
低误报率的网络恶意代码智能分析系统。
关键词分布式结构启发式扫描仿真主动防御归一化
DITRIUTED STRUCTUREASED I TELLI WORK MALI I US
CODEANALYSI G SYSTEM
GaoYu MoYouquan LiQigrng LiXinghe
(IsiutofIfratonEngierng,IfratonEngierngUniest,Zhegzou450002,Hean,Chia)
Absract Thrughnoralstonprcesigonmetmorhi codesiprvigteWM alortm andappligsmeadvancedmalcius
codesdetctontchnolgisschasheursi san,emulton,vitalztonandIS,or malciuscodeanalsngssem
wihditiutdsrctr hasanitgrtdmalciuscodesgnatr datbas andihihefiinti sgnatr code
mathigcanautmatcalycaptr andcontolmalciusbehaviur,countroietersureconsmptonandmaketefulrt lwer
Keywords Ditiutdsrctr Heursis Emulton IS Noralston
目前,在反恶意代码工具中,商用的反病毒软件主要采用特
0 引言
在政府、企业或学校等局域网环境中,网管们在网关入口部
署网络防火墙,在用户终端上安装反病毒软件和 IS等检测软
件,这在一定程度上扼制了已知病毒的发挥,但并不能完全消除
恶意代码的危害,特别是未知的恶意代码。所以,在网络中部署
恶意代码智能分析系统,不仅可以检测出已知的恶意代码,还可
以在不影响用户正常使用程序文件的情况下,实时分析程序代
码,及时发现恶意代码并采取相应的保护措施。
1 当前恶意代码检测技术的现状及发展趋势
恶意代码是一段计算机指令,由攻击者通过系统安全漏洞
或其他方法植入到被攻击者的计算机中,使得被攻击者的计算
机按照攻击者的意愿执行任务,任何能对计算机系统信息安全
造成威胁的计算机指令集序列和数据都可以归属于恶意代码。
常见的恶意代码有:漏洞攻击程序、计算机病毒、蠕虫、恶意移动
脚本、后门、木马、Rooti、间谍软件以及更深层次的 BIS木马、
恶意 CPU微代码等,当然还包括以上类型恶意代码的综合应
用———组合恶意代码。
�
征码匹配和行