收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

通信网络恶意代码及其应急响应关键技术研究

李鹏  
【摘要】:通信网络业务数据化、网络技术IP分组化、网络接入无线化、网络逐渐开放化,以及网络不断融合发展,已经成为通信网络演进的主流方向。随着通信网络的迅速发展和日益开放,网络安全问题逐渐凸显出来。本文从业务层安全、控制层安全、传输层安全和接入层安全等层次入手,深入系统地研究通信网络在各个层次的安全特性和安全隐患,提出通信网络恶意代码的技术框架,并解决用于通信网络恶意代码应急响应的完整处置过程所涉及的关键技术问题。研究工作的主要贡献包括以下五个方面: (1)提出通信网络恶意代码以及应急响应的技术框架 在总结了通信网络安全隐患和恶意代码关键技术发展趋势的基础上,本文设计和实现了通信网络恶意代码攻击平台,旨在增强恶意代码的综合破坏效果、改进恶意代码的传播机制、实现恶意代码攻击行为的智能化,并将其运用于通信网络的软交换技术。恶意代码的破坏效果是实现和核心,恶意代码是通过原子功能实现的,主要阐述本人设计实现的部分恶意代码,包括Shellcode的设计、基于堆的溢出攻击技术、格式化字符串攻击技术、内核入侵隐藏技术、杀毒软件反制的技术,以及SIP监听与拒绝服务技术。同时,该平台也适用于测试恶意代码应急响应系统的功能和性能。 另一方面,基于对恶意代码攻击关键技术问题分析的基础上,面向通信网络环境,提出通信网络恶意代码应急响应技术框架。旨在构建恶意代码防范的整体架构,提出针对通信网络恶意代码的有效检测防御技术和手段,以及研究对恶意代码免疫技术,并对恶意代码的攻击和防御效果从理论上进行的合理评估与评价。 (2)提出恶意代码的静态和动态检测新方法 在恶意代码静态分析方面,提出基于未知恶意代码样本空间关系特征的静态样本自动检测技术。发掘恶意代码字符空间关系的独特“纹理”特征,基于区域生长的智能分块算法,划分恶意代码样本空间关系区域;根据区域分别提取恶意代码样本的字符矩、信息熵和相关系数等空间关系特征;采用综合多特征的相似优先匹配方法检测未知恶意代码。 在恶意代码动态分析方面,提出基于自相似特性的恶意代码分析技术,通过重新标度权差分析算法、回归方差算法、Higuchi算法等多种自相似方法综合进行比较,从而验证确实恶意代码动态特性确实存在自相似性。在此基础上提出了基于模糊识别和支持向量机的联合动态检测技术,对系统调用序列进行匹配生成元扫描,根据生成元的距离采用加权平均法得到模糊识别初步结论;进而对可疑程序,采用基于层次的多属性支持向量机分析法,对量化的API系统调用序列进行属性分解,最终依据多个属性动态行为属性的汉明距离,从而确认其恶意行为和恶意代码的所属类型。 (3)提出基于综合熵值法的恶意代码量化评估方法 在总结通信网络恶意代码攻击手段、攻击对象、攻击步骤,以及攻击指标的基础上,本文采用综合流量判定和系统指标判定的方法,提出了联合交叉熵和网络特征熵的办法来构建恶意代码网络攻击效果评估设计方案。实时采集的相关指标并权衡各种不同类型的指标之间的差异;采用交叉熵方法自适应预估,利用网络特征熵对攻击进行精确描述,结合多次评估结果进行反馈修正。这种综合熵值的计算办法,直观看出网络攻击的存在,量化网络攻击的效果,而且可以准确定位出攻击的起止时刻。 (4)提出基于通信网络恶意代码的免疫模型和改进算法 应急响应的最后部分是进行恶意代码免疫。设计实现了恶意代码免疫机制的新框架,包括免疫信息的采集程序、免疫信息的过滤处理程序、免疫信息的判别程序,以及免疫响应程序四个相互关联的组成部分。针对目前免疫算法中的信号的误分类给检测准确率带来极大影响的问题,提出基于模糊加权支持向量机的网络恶意代码树突细胞免疫算法,对信号和抗原进行模糊聚类,减少了免疫策略的数量,并且降低了免疫响应时间,从而提高免疫系统的效率和性能。此外,本文采用不平衡支持向量机对输出的亲和力值进行筛选,只保留其最重要的特征值,便于免疫响应程序进行优化判定处理,从而优化恶意代码免疫输出结果。 (5)设计实现了恶意代码及其应急响应原型系统 为了验证提出的通信网络恶意代码及应急响应关键技术,设计和实现了恶意代码及应急响应的原型系统。对于恶意代码原型系统,从软交换的平台的搭建和测试、蠕虫挂马的准备、攻击策略的制定、恶意代码破坏的实施,以及恶意代码攻击反馈等五个阶段进行了详细的阐述。而对于应急响应原型系统主要阐述了对可疑程序的监控、恶意代码静态检测、恶意代码动态检测、恶意代码破坏评估,以及恶意代码免疫等五个阶段。


知网文化
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978