基于因果关联分析恶意代码检测的研究与应用

    【 摘 要 】 文章针对恶意代码的攻击原理，介绍了对恶意代码的检测。通过因果关联的分析原理检测恶意代码，提高对恶意代码等网络攻击的安全防范意识，更新操作系统发布的最新安全漏洞补丁，修补操作系统安全漏洞；加强网络共享管理；强化密码设置，增强安全策略，加强密码强度。
　　【 关键词 】 因果关联；恶意代码；检测
　　1 前言
　　随着计算机信息技术的飞速发展和普及，计算机和计算机网络已经渗入到人们的工作学习和生活中。在计算机和网络带给人们巨大的方便与快捷的同时，同样也带来了各种负面的计算机安全隐患。在各种安全威胁下，恶意代码是较为常见的一种入侵方式。恶意代码对计算机安全的破坏有小有大，小则计算机中数据丢失、被篡改，大则系统硬件可能被破坏。由于每种恶意代码在网络传播中的特点各不相同，攻击阶段也各不相同，如果采用传统的针对内容的检测分析无法高效识别与普通代码很相似的恶意代码。
　　本文提出了一种基于因果关联分析的方法来检测恶意代码，通过研究恶意代码在网络传播中的攻击模型，以因果关联分析方法为理论依据，来检测恶意代码，这种方式提高了对恶意代码的检测效率，降低了检测的误报率，并且能够兼容传统的数据包特征匹配算法。
　　2 简介
　　2.1 何为恶意代码
　　Malware是恶意代码的专业术语。恶意代码Malware本质是一段代码，只是这段代码含有一定的对计算机破坏的功能。恶意代码一般是运用计算机系统或者软件的各种漏洞进行破坏。一般表现形式是二进制文件、脚本或者宏。
　　恶意代码主要包括计算机后门、计算机病毒、特洛伊木马、恶意移动代码、蠕虫、内核套件和僵尸网络等。
　　计算机后门是一种通过使用后门工具对目标机器进行控制的恶意代码程序，它能够绕开正常的安全控制机制。
　　计算机病毒的最大特点就是可以自我复制，具有一定感染性的一段病毒代码。
　　特洛伊木马：正如特洛伊历史事件所描述的类似，该段代码能够伪装成正常有用的软件博取用户信任，一旦用户点击打开，则暴露出恶意行径的代码。
　　恶意移动代码：一般情况下，恶意移动代码是部署在Web服务器端的，所以它基本不需要过多的人工干预。一旦访问已经部署恶意代码的Web服务器，则本机就有可能被感染。
　　蠕虫：和计算机病毒一样具有自我复制性，将自身嵌套进宿主程序中运行的恶意代码。
　　内核套件：氛围用户态和内核态两种。一般通过替换或者修改系统中关键文件，获取最高控制权的一类程序代码。
　　僵尸网络：具有网络传播性和恶意性，危害较大。中毒的计算机不是一台，而是网络上的多台，感染范围较大，该恶意代码控制多台网络中的计算机，使其被感染的计算机如同僵尸一般受控制。
　　2.2 恶意代码工作原理
　　恶意代码一般通过四种方式运行：利用系统漏洞、嵌入其他文件、伪装成有用文件和欺骗。恶意代码可以通过自我复制传染更多的主机文件或者网络上的不同主机。传播的介质有网络电子邮件、计算机中的网络共享、移动介质（U盘、移动硬盘等）、P2P共享、系统本身漏洞等。恶意代码入侵主机后，可以通过修改系统设置成为系统开机自启动项目中的其中一项，当用户每次开机时，就启动恶意代码进行非法操作，如发起非法攻击、记录键盘和鼠标事件、获取用户隐私等等。