基于因果关联分析恶意代码检测的研究与应用(2)

　　关联特征过滤器的确定。将每个阶段恶意代码攻击的数据包特征进行正则描述，定义成关联特征过滤器集合T={t1，t2，t3，……，tn}。
　　M个n维的向量表集合的确定。每个向量分量为8的倍数的二进制码，每个向量对于一个IP地址，n维代表共记录了n种恶意攻击。每个内网IP地址对应一个哈希值，恶意代码对应向量表中的其中一维，向量表中的一个单元表示与该内网IP相关的数据包对恶意代码的过滤情况。状态向量集合表的某个位置被更新时，应该判断与状态向量表位置相对于的因果关联特征过滤器的某个位置是否相等，如果两个值相等，则表明此时更新的是最终的状态，如果两个值不相等，则表明此时更新的不是最终的状态。
　　数据包进入n维度的关联特征过滤器后进行匹配分析，如果匹配则进一步表名该恶意代码具有因果关联特征。
　　在因果关联分析中，需要用到一种结构，该结构记录了源IP地址，目的IP地址，恶意代码第一次生成时间，最近一次清理的时间，恶意代码编号，所处的攻击阶段等内容信息。需要定期清理可疑IP组，每次清理后将剩下的IP组中的结构更新，同时将状态向量表对应的二进制码归零。这样可以节省部分内存空间，减少恶意代码的误报率。
　　需要注意的是，只需要存在一个n维的状态向量表，就可以对应n个因果关联特征过滤器T1，T2，T3，……，Tn。
　　因果关联分析法的恶意代码检测流程是：在网络中读取需要检测的数据包，将数据包的来源IP与高度可疑的IP组相比较，如果发现该IP在高度可疑IP组中，则进入关联特征匹配，如果匹配结果为是，则进一步处理数据包。处理数据包主要是判断是否更新向量表，若内网地址的数据分组与关联特征过滤器中的成员特征成功匹配，那么内网地址对应的向量序号与对应的恶意代码进行哈希计算。匹配结果放置到向量表中的条件是，检测的数据包需要和一个关联特征相匹配。具体流程如图1所示。
　　4结束语
　　为了保障联入网络中的企业和个人能够安全地进行各项日常工作和活动，计算机安全技术，特别是计算机网络安全技术正在飞速的发展。由于其互联网本身的开发特性，当今恶意代码流行的趋势是全球范围的，攻击速度越来越快，几乎为零日攻击，一般是几种网络攻击方式联合，对计算机网络用户造成了严重的安全威胁。针对恶意代码的攻击原理，联入网络中的企业、个人等组织应该提高对恶意代码等网络攻击的安全防范意识，网络管理员应该及时更新操作系统发布的最新安全漏洞补丁，修补操作系统安全漏洞，加强网络共享管理，强化密码设置，增强安全策略，加强密码强度。
　　参考文献
　　[1]曹跃，梁晓，李毅超，何子昂.基于差异分析的隐蔽恶意代码检测[J].计算机科学，2008.02.
　　[2]张甲，段海新，葛连升.基于事件序列的蠕虫网络行为分析算法[J].山东大学学报（理学版），2007.09.
　　[3]万琳，廖飞雄，张威，李明亮.一种恶意代码检测方法的实现[A].第十四届全国容错计算学术会议（CFTC'2011）论文集[C]，2011年.

　　论文榜（www.zglwb.com），是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导，寻求投稿辅导代理，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。


期刊鉴别	论文检测	免费论文	特惠期刊	学术答疑	发表流程

搜索

基于因果关联分析恶意代码检测的研究与应用(2)