信息系统恶意代码检测关键技术研究

发布时间：2018-07-28 15:26

【摘要】：随着国家信息技术的快速发展和综合国力的提升,商业秘密信息和国家秘密信息成为了窃密者的重要攻击对象。由于信息系统外部软硬件国产化进程还无法适应当前的技术发展和需要,因而为窃密者提供了大量的可利用的系统漏洞和攻击途径,其中,以恶意代码为典型代表的攻击方式在信息系统内屡见不鲜,且攻击方式不断优化。对于这些恶意代码,一旦无法及时检测和清除,轻者破坏信息系统的部分功能和应用环境,重者则直接窃取敏感的涉密信息,给国家安全和经济建设造成严重的损失。为此,恶意代码检测技术已成为我国政府、军队和科研院所重点关注的研究问题。虽然人们对恶意代码特征以及信息系统安全防护等相关技术进行了长期研究,提出了各类有效技术及机制并试图解决信息系统内恶意代码检测与清除研究中所遇到的各类安全问题,但这些技术并没有很好地适应信息系统的综合环境和特性。本文以信息系统内恶意代码基本特征为研究对象,以信息系统安全为研究内容,从恶意代码检测的实用角度出发,深入研究了可适应信息系统环境,具有特殊攻击性、潜伏性等特点的恶意代码行为方式,并提出了综合性的恶意代码检测方法。首先,以信息系统为例,应用程序、进程和服务比较单一,特别是文件、网络、注册表等访问行为。为此,针对恶意代码善于伪装以及添加无序行为的方式来逃避检测的情况,提出了运用齐次隐马尔可夫模型提高判断恶意行为准确性的方法。该方法通过对于危险行为特征的概率计算,能够准确地识别恶意代码程序加壳以及无序干扰的伪装方式,提高信息系统环境恶意代码的检测率。其次,在信息系统中,为了混淆恶意特征以及行为,恶意代码往往会通过变种的方式,为此,提出了基于启发式的恶意代码检测方法,通过静态的行为特征,按照特征的判别熵进行特征精简,来比较所有与正常样本存在差异的样本。对于通过采用自修改代码技术隐藏自身逻辑的恶意代码,提出了使用虚拟机技术新生恶意代码位置的方法,并调用静态检测部分进行检测,达到检测自修改代码未知恶意代码的目的。最后,在信息系统中,恶意代码最显著的特征是自身隐蔽性,为了达到事前预防的最佳效果,提出了基于主机检测的恶意代码检测方法,获取常规情况下系统服务或应用程序对象对系统函数的调用层次树,将实时情况下检测得到的调用层次树与常规模式下的调用层次树进行相似度比较,当相似度超出阂值,则判定目前函数的调用行为是恶意的。特别对于利用一些常见应用程序漏洞,而植入恶意代码的可疑目标,能够实现主动发现,并主动诱使恶意代码进行攻击,进而实现检测。
[Abstract]:With the rapid development of national information technology and the promotion of comprehensive national strength, trade secret information and state secret information have become an important object of attack. Because the process of localization of external software and hardware of information system can not meet the current technological development and needs, it provides a large number of exploitable system vulnerabilities and attack channels for the burglars, among which, The attack mode represented by malicious code is common in the information system, and the attack mode is optimized constantly. For these malicious codes, once they can not be detected and cleared in time, the light ones destroy part of the functions and application environment of the information system, while the heavy ones directly steal sensitive confidential information, causing serious losses to national security and economic construction. Therefore, malicious code detection technology has become the focus of our government, military and research institutes. Although people have carried out long-term research on malicious code features and information system security protection and other related technologies, This paper puts forward various effective technologies and mechanisms and tries to solve all kinds of security problems encountered in the research of malicious code detection and clearance in information systems, but these technologies do not adapt well to the comprehensive environment and characteristics of information systems. This paper takes the basic characteristics of malicious code in information system as the research object, takes the security of information system as the research content, from the practical point of view of malicious code detection, deeply studies the adaptability to the information system environment, and has special aggression. This paper presents a comprehensive detection method of malicious code, which is characterized by latent behavior. First, take the information system as an example, the application, the process and the service are relatively single, especially the file, the network, the registry and so on access behavior. For this reason, aiming at the situation that malicious code is good at camouflage and adding disorder behavior to avoid detection, a method of improving the accuracy of malicious behavior by using homogeneous hidden Markov model is proposed. By calculating the probability of dangerous behavior characteristics, the method can accurately identify the malicious code program shell and disordered interference camouflage, and improve the detection rate of malicious code in information system environment. Secondly, in information systems, in order to confuse malicious features and behaviors, malicious code is often used in a variety of ways. Therefore, a heuristic based malicious code detection method is proposed, and static behavior features are used to detect malicious code. According to the discriminant entropy of the feature, the feature is reduced to compare all samples which are different from the normal samples. For malicious code which uses self-modifying code technology to hide its own logic, the method of using virtual machine technology to generate malicious code location is put forward, and the static detection part is called to detect the malicious code. To detect self-modified code unknown malicious code. Finally, in the information system, the most prominent feature of malicious code is its concealment. In order to achieve the best effect of prevention in advance, a method of malicious code detection based on host detection is proposed. The system service or application object's invoking hierarchical tree of system function is obtained in the general situation, and the similarity degree of the detected invocation hierarchy tree in real-time is compared with that of the calling hierarchy tree in the conventional mode. When the similarity exceeds the threshold value, the system service or application object invokes the hierarchical tree of the system function. It is determined that the calling behavior of the current function is malicious. Especially for embedding suspicious targets of malicious code by exploiting some common application vulnerabilities, we can realize active detection and actively induce malicious code to attack, and then realize detection.
【学位授予单位】：哈尔滨工程大学
【学位级别】：博士
【学位授予年份】：2016
【分类号】：TP309

【相似文献】

相关期刊论文 前10条

1 孟雪梅,罗春水;论中小企业信息系统建设[J];情报科学;2000年11期

2 田洁;战略信息系统在企业业务层的应用[J];中国信息导报;2000年08期

3 郭清顺,李丛信,林冬梅;对信息系统建设中若干成功要素的分析[J];中山大学学报(自然科学版);2001年S1期

4 项振茂,胡建,郭雷英;谈公安计算机信息系统建设[J];公安学刊(浙江公安高等专科学校学报);2002年03期

5 李健艺;铁路企业发展信息系统的探讨[J];甘肃科技纵横;2003年02期

6 赵文;医院信息系统的现状与展望[J];山东电子;2003年02期

7 罗艳丽,何钟j;医院信息系统的建设与思考[J];医学信息;2003年12期

8 本刊编辑部;信息系统100改变我们[J];信息系统工程;2003年12期

9 沈彤;;零售业信息系统的“真金”是什么[J];信息与电脑;2003年07期

10 冯伟;洪波;;对医院信息系统建设的几点建议[J];中国中医药现代远程教育;2004年10期

相关会议论文 前10条

1 宁家骏;;现行信息系统的评估问题[A];第十一届全国数据库学术会议论文集[C];1993年

2 EUgena Staffa;;有效的减灾信息系统[A];联合国国际减轻自然灾害十年论文精选本论文集[C];2004年

3 刘敏豪;邬倩倩;于兴康;;医院信息系统在我院门诊调剂流程的应用体会与思考[A];2014年广东省药师周大会论文集[C];2014年

4 李岩;;计算机信息系统的安全管理[A];第十八次全国计算机安全学术交流会论文集[C];2003年

5 韩东;孙大文;;一个信息系统生效模型及在我国企业的应用分析[A];信息科学与微电子技术:中国科协第三届青年学术年会论文集[C];1998年

6 蔡连生;;浅析企业计算机信息系统的解决方案[A];第二届全国特种电源与元器件年会论文集[C];2002年

7 张毅;许涛;;信息系统在医疗行业中的应用[A];第六届全国计算机应用联合学术会议论文集[C];2002年

8 胡石元;刘耀林;唐旭;刘洋;潘润秋;;城镇土地定级估价信息系统的设计与实现[A];新世纪土地问题研究[C];2002年

9 廖欣;;医院信息系统建设引入信息工程监理机制的探讨[A];中国中医药信息研究会第二届理事大会暨学术交流会议论文汇编[C];2003年

10 宋子岭;;地质信息系统的建立及其在矿业中的应用[A];科技、工程与经济社会协调发展——中国科协第五届青年学术年会论文集[C];2004年

相关重要报纸文章 前10条

1 苏凤轩;信息系统：物流的灵魂[N];中国交通报;2000年

2 张长青　姜金贵 史同波;悟透基于信息系统的体系作战[N];中国国防报;2010年

3 本报记者 郝宏升　通讯员 侯俊 方丽玲;河南经验：信息系统，建得好更要用得好[N];国家电网报;2011年

4 商蓉蓉;信息系统：如何从“让我用”到“我要用”[N];建筑时报;2013年

5 王甲佳;谁做企业信息系统的当家人[N];中国信息化周报;2014年

6 本报记者 韩国卿;国内保险信息系统需上台阶[N];中国保险报;2001年

7 尹伊俪;信息系统，，何去何从[N];中国建材报;2005年

8 杨周南;企业建立信息系统的三大误区[N];财会信报;2005年

9 杨周南;信息系统的发展[N];财会信报;2005年

10 杨周南;建立信息系统的可行性分析体系[N];财会信报;2005年

相关博士学位论文 前10条

1 徐锋;信息系统恶意代码检测关键技术研究[D];哈尔滨工程大学;2016年

2 肖明;柴达木盆地枸杞质量安全评估与信息系统建立研究[D];石河子大学;2014年

3 吴明渊;某些Domain的信息系统和闭包空间表示[D];湖南大学;2016年

4 王姣;组织间信息系统协同形成机理研究[D];吉林大学;2008年

5 吴江;组织—信息系统互动动态网络模拟研究[D];华中科技大学;2009年

6 梁爱民;大型信息系统柔性体系框架多簇理论研究[D];铁道部科学研究院;2004年

7 谷勇浩;信息系统风险管理理论及关键技术研究[D];北京邮电大学;2007年

8 杨文彩;企业信息化环境下人—信息系统交互效率影响因素及作用机理研究[D];重庆大学;2007年

9 沈延森;快速可重构信息系统及其关键技术研究[D];南京航空航天大学;2001年

10 王素芬;信息系统中信息实现过程分析及建模[D];东华大学;2007年

相关硕士学位论文 前10条

1 杨丽娟;信息系统变更审计的探讨[D];首都经济贸易大学;2008年

2 高鹏飞;L勘察设计院信息化系统实施战略规划研究[D];昆明理工大学;2015年

3 高杉;序信息系统的同态性质[D];渤海大学;2015年

4 刘公明;云计算环境下建筑设备物联网信息系统的应用研究[D];山东建筑大学;2015年

5 伊善强;海运散装化学品信息系统的研究与实现[D];大连海事大学;2015年

6 王静;走马镇卫生院信息系统的设计与实现[D];华中师范大学;2015年

7 刘中华;宝能集团信息化组织架构优化研究[D];兰州大学;2015年

8 付勇;银行大客户管理信息系统的设计与实现[D];山东大学;2015年

9 葛春华;信息系统在棒约翰的应用研究[D];首都经济贸易大学;2015年

10 刘钟;现代农业中的数字化信息系统[D];电子科技大学;2015年

本文编号：2150703