網絡安全中惡意軟件的行為研究與檢測

馮常青 張巖

摘 要 隨著網絡技術的不斷發展，信息安全面臨著諸多的安全威脅，越來越多的攻擊者在程序中插入惡意行為。安全研究人員基于特征碼的靜態分析，通過特征庫高效快速地對惡意行為進行匹配。但隨著攻擊技術的進步，更多的設計者選擇將惡意行為隱藏在程序代碼中，對其進行加密和變形，以此來抵御靜態分析。所以如何進行惡意軟件行為的捕獲，準確判定出惡意軟件，成為信息安全領域亟待解決的問題。

關鍵詞 惡意軟件 行為研究 檢測防范

中圖分類號：TP393文獻標識碼：A

1背景

惡意軟件是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝運行損害系統和偷取用戶隱私信息的軟件。這類如病毒、蠕蟲、木馬、后門的惡意軟件已經成為計算機和網絡最大的威脅之一①。惡意軟件的開發者編寫如間諜軟件、廣告軟件等狹義角度意義上的惡意軟件，在網絡上傳播和蔓延，使得接入互聯網的任何系統都處于將被攻擊的風險中。

面對惡意行為帶來的信息安全問題，安全產品的分析人員開發出自動化分析程序工具用以抽取和分析惡意軟件的行為。然而，惡意程序有時能檢測出模擬或虛擬的分析環境，為了逃避分析工具的檢測，它會減少攻擊行為或立即結束進程。這種惡意代碼與安全軟件之間的對抗日益加劇。所以，對網絡程序的惡意行為進行檢測和研究成為了信息安全方面迫切需要解決的問題。……