本文综述了恶意软件检测技术,包括基于异常和签名的检测方法,强调了动态和静态检测的优缺点。研究指出,由于资源消耗和覆盖范围有限,现有技术存在挑战。提出结合计算机底层硬件开发的恶意软件探测器,以降低性能损耗,提高检测效率。未来方向可能在于软硬结合的多级检测机制,寻求性能与复杂性的平衡。
2018体系结构安全大作业
申明:转载请注明出处
恶意软件检测技术综述
摘要
本文介绍了恶意软件、恶意软件探测技术和探测器的定义,以及研究它们的现实意义。概述了恶意软件探测技术的具体分类和各个类别的研究现状。结合研究现状,总结了软件探测器性能损耗高,覆盖范围有限的特点,提出了可以结合计算机组成结构原理,开发底层硬件分类器的思想,并且结合国内外硬件探测器研究,列举了几个常用的检测指标,总结了他们的贡献和不足。最后,提出了发展软硬结合的多级探测技术的展望。
第一章 绪论
恶意软件是任何旨在损害计算机,服务器或计算机网络的软件。恶意软件在植入或以某种方式引入目标计算机后会造成损害,并可采取可执行代码,脚本,活动内容和其他软件的形式。该代码除计算机病毒,蠕虫,特洛伊木马,勒索软件,间谍软件,广告软件,恐慌软件外,还包括其他形式的恶意代码。
一般来说,恶意软件的植入是分时间段的,放在软件的生命周期中来看,有预发布阶段和发布后阶段。内部威胁或者内部人员通常是唯一能够在将软件发布给最终用户之前将恶意软件插入软件的黑客类型。其他黑客人员或者组织在发布后阶段插入恶意软件。
恶意软件在未明确提示用户或未经用户许可的情况下,在计算机上安装运行,一般具有下述行为的一种或多种:强制安装、浏览器劫持、窃取、修改用户数据、恶意收集用户信息、恶意卸载、恶意捆绑及其他侵犯用户知情权、选择权的恶意行为等。这些行为将严重侵犯用户合法权益,甚至将为用户及他人带来巨大的经济或其他形式的利益损失。所以,研究恶意软件检测技术,不仅仅是学术界的一个研究方向,也是维护网络世界安全的重要责任。
第二章 理论准备
2.1 恶意软件检测技术与恶意软件检测器
恶意软件检测器是恶意软件检测技术的实现和检验方式。
一般来说,恶意软件检测技术分为两类:基于异常的检测和基于签名的检测。基于异常的检测主要是基于对正确程序行为的积累和了解,如果程序的行为不符合正常程序行为的轨迹,那么就判断它为恶意软件。在基于异常的检测中,有一个子类叫做基于规范的恶意软件检测,是对程序运行建立一系列的标准和准则,认为只有符合这些标准或者准则的程序才是正常的程序,如果不符合这些标准,则认为是恶意代码或者恶意软件。基于签名的检测主要是基于对恶意行为的积累和检测,系统会建立一个恶意行为存储库,如果软件的行为与已经存储的恶意行为匹配,那么就认为他是恶意软件。
每一种恶意软件检测方法都可以根据具体的检测方式再细分为静态、动态和混合态三类。例如,静态的基于签名的方法只会利用结构信息(比如字节序列)来确定恶意,而动态方法则会利用程序运行时的信息(例如:在运行时间堆栈中监察系统堆栈行为是否正常),一般来说,静态方法试图在执行被检查程序之前检测恶意软件,相反动态方法试图检测程序执行期间或者程序执行后的恶意行为。两种方法的混合是混合检测技术。具体分类如下图所示:
2.2 恶意软件检测研究现状
2.2.1基于异常的检测研究现状
基于异常的检测通常发生在两个阶段,分别是学习阶段和检测阶段。在训练阶段,探测器学习正常的行为,在检测阶段,探测器利用学习到的知识对恶意代码进行检测。
动态检测
最低0.47元/天 解锁文章
扫一扫
784
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
