發(fā)布時(shí)間：2018-10-07 19:39

【摘要】：隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大以及網(wǎng)絡(luò)技術(shù)的快速發(fā)展,惡意代碼攻擊呈現(xiàn)出專業(yè)性、趨利性與組織性的特點(diǎn),從而給計(jì)算機(jī)安全與網(wǎng)絡(luò)安全都帶來了巨大的隱患。因此,必須對(duì)惡意代碼進(jìn)行檢測,以避免計(jì)算機(jī)與網(wǎng)絡(luò)遭到破壞,從而確保個(gè)人與企業(yè)的利益不受到損害。 本文對(duì)基于規(guī)則匹配的惡意代碼檢測方法進(jìn)行了深入的研究,并提出了基于頻率統(tǒng)計(jì)的檢測規(guī)則與高速的單模式匹配算法。論文的主要研究內(nèi)容包括： 1、提出了異常網(wǎng)絡(luò)行為的檢測與優(yōu)化方法。為了提高惡意代碼的檢測效率,就必須確�；谝�(guī)則匹配的檢測系統(tǒng)所用的規(guī)則集盡可能小而且有效。因此,本文首先對(duì)Snort系統(tǒng)的檢測規(guī)則進(jìn)行了細(xì)化,優(yōu)化了檢測規(guī)則樹,然后把規(guī)則樹中的規(guī)則進(jìn)行匹配頻率統(tǒng)計(jì),將各端口下的三個(gè)規(guī)則子集進(jìn)一步劃分為常用子集與非常用子集,從而構(gòu)造出更小更有效的規(guī)則集。 2、提出了高速的單模式匹配算法。通過對(duì)模式匹配算法BM算法、BMH算法、SBM算法了分析,提出了高速的單模式匹配算法。實(shí)驗(yàn)表明,HSPM算法通過綜合使用BMH算法與SBM算法,從而實(shí)現(xiàn)了以更少的時(shí)間和匹配次數(shù)達(dá)到與BMH算法和SBM算法相同的識(shí)別率。 3、實(shí)現(xiàn)了基于QEMU的惡意代碼原型驗(yàn)證系統(tǒng)。首先通過對(duì)QEMU源碼的修改搭建了虛擬測試網(wǎng)絡(luò),然后對(duì)基于規(guī)則匹配的惡意代碼原型驗(yàn)證系統(tǒng)的三個(gè)模塊進(jìn)行了實(shí)現(xiàn),最后從四個(gè)方面對(duì)系統(tǒng)的性能進(jìn)行了測試,測試表明本文所實(shí)現(xiàn)的系統(tǒng)達(dá)到了預(yù)定的設(shè)計(jì)目標(biāo)與要求。
[Abstract]:With the continuous expansion of network scale and the rapid development of network technology, malicious code attacks show the characteristics of professionalism, profitability and organization, which bring huge hidden trouble to computer security and network security. Therefore, malicious code must be detected to avoid damage to computers and networks and to ensure that the interests of individuals and businesses are not compromised. In this paper, the detection method of malicious code based on rule matching is deeply studied, and the detection rules based on frequency statistics and the high speed single pattern matching algorithm are proposed. The main research contents are as follows: 1. The detection and optimization method of abnormal network behavior is proposed. In order to improve the detection efficiency of malicious code, it is necessary to ensure that the rule set used in rule-based detection system is as small as possible and effective. Therefore, this paper firstly refines the detection rules of Snort system, optimizes the detection rule tree, and then calculates the matching frequency of the rules in the rule tree. The three rule subsets under each port are further divided into common subsets and non-common subsets, thus a smaller and more effective rule set is constructed. 2. A high speed single pattern matching algorithm is proposed. Based on the analysis of BM algorithm, a high speed single pattern matching algorithm is proposed. The experimental results show that the HSPM algorithm can achieve the same recognition rate as the BMH algorithm and the SBM algorithm with less time and matching times by combining the BMH algorithm and the SBM algorithm. 3. The prototype verification system of malicious code based on QEMU is implemented. First, the virtual test network is built by modifying the QEMU source code, then the three modules of the prototype verification system based on rule matching are implemented. Finally, the performance of the system is tested from four aspects. The test results show that the system achieved the predetermined design goals and requirements.
【學(xué)位授予單位】：中國科學(xué)院大學(xué)（工程管理與信息技術(shù)學(xué)院）
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 ;看空氣質(zhì)量 鍛煉身體[J];電腦愛好者(普及版);2012年08期

2 馬立權(quán),高巖,謝崇光,葛平,張樹娟;通用微機(jī)檢測軟件設(shè)計(jì)[J];大連輕工業(yè)學(xué)院學(xué)報(bào);2000年02期

3 張立瑩;;你的電腦硬件可好? 檢測軟件大閱兵[J];新電腦;2006年03期

4 方宏;;車輛檢測線工位檢測軟件的研制[J];機(jī)械制造與自動(dòng)化;2007年02期

5 張曉華;;入侵檢測軟件應(yīng)用解析[J];硅谷;2010年14期

6 廖佳 ,方華;微機(jī)檢測技術(shù)[J];電子與電腦;1994年03期

7 孟曉明;網(wǎng)絡(luò)信息的入侵檢測技術(shù)與方法研究[J];現(xiàn)代圖書情報(bào)技術(shù);2004年02期

8 李素娟;;硬件檢測的新利器:Everest[J];辦公自動(dòng)化;2004年08期

9 徐建;游靜;劉鳳玉;;基于免疫遺傳的軟件衰退檢測算法[J];計(jì)算機(jī)科學(xué);2006年01期

10 黃建榮;胡躍明;戚其豐;;基于圖像的產(chǎn)品檢測軟件的設(shè)計(jì)[J];電子工藝技術(shù);2008年03期

相關(guān)會(huì)議論文 前4條

1 朱建平;顧健;邱梓華;沈亮;;2003年信息安全產(chǎn)品檢測概況[A];第十九次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2004年

2 陳其偉;;談形象直觀的檢測圖形報(bào)告不可忽視的作用[A];第十五屆全國汽車檢測技術(shù)年會(huì)論文集[C];2011年

3 奚琪;王清賢;曾勇軍;;惡意代碼檢測技術(shù)綜述[A];計(jì)算機(jī)研究新進(jìn)展（2010）——河南省計(jì)算機(jī)學(xué)會(huì)2010年學(xué)術(shù)年會(huì)論文集[C];2010年

4 鄢鵬;王忠;;以太局域網(wǎng)的監(jiān)聽檢測原理與實(shí)現(xiàn)[A];四川省通信學(xué)會(huì)二零零四年學(xué)術(shù)年會(huì)論文集（二）[C];2004年

相關(guān)重要報(bào)紙文章 前10條

1 早報(bào)記者 陳斯斯　實(shí)習(xí)生 周雅涵;畢業(yè)臨近論文檢測軟件熱賣[N];東方早報(bào);2011年

2 齊繼戰(zhàn)　記者 王梅;杜絕機(jī)動(dòng)車安檢中的“貓膩”[N];中國質(zhì)量報(bào);2009年

3 本報(bào)記者 曹樹林　朱虹;網(wǎng)上“論文反抄襲”檢測可信嗎[N];人民日報(bào);2011年

4 ;薄弱環(huán)節(jié)檢測[N];中國計(jì)算機(jī)報(bào);2000年

5 本報(bào)實(shí)習(xí)記者 鄭梅云;畢業(yè)季催熱論文檢測軟件 功能變味難遏抄襲風(fēng)[N];通信信息報(bào);2014年

6 劉立才;探索VTS維護(hù)管理之路[N];中國水運(yùn)報(bào);2008年

7 內(nèi)蒙古 王f ;檢測軟件也出錯(cuò)[N];電腦報(bào);2004年

8 劉立才;遼寧海事局：自主創(chuàng)新實(shí)現(xiàn)VTS自檢自修[N];中國交通報(bào);2008年

9 本報(bào)通訊員 胡娜　記者 王兵;四兩撥千斤的智慧[N];中國氣象報(bào);2011年

10 ;安全軟件市場增長迅猛[N];網(wǎng)絡(luò)世界;2001年

相關(guān)博士學(xué)位論文 前2條

1 李宗林;骨干通信網(wǎng)中的分布式隱蔽流量異常檢測方法研究[D];電子科技大學(xué);2010年

2 任少斌;基于形態(tài)學(xué)圖像技術(shù)的群體檢測方法研究[D];太原理工大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 秦彩杰;基于多線程事件同步技術(shù)的鈣離子濃度檢測軟件的設(shè)計(jì)[D];華中科技大學(xué);2007年

2 黃劍軍;基于帶權(quán)歐氏距離的殼檢測與脫殼技術(shù)的研究[D];杭州電子科技大學(xué);2009年

3 史慶慶;基于后綴數(shù)組的克隆代碼檢測研究[D];內(nèi)蒙古師范大學(xué);2013年

4 宋述燕;胞內(nèi)鈣離子熒光顯微檢測軟件的研制[D];華中科技大學(xué);2005年

5 汪克敏;基于數(shù)據(jù)挖掘的入侵檢測技術(shù)的研究[D];電子科技大學(xué);2011年

6 朱小棟;數(shù)據(jù)挖掘技術(shù)在智能入侵檢測中的應(yīng)用研究[D];安徽大學(xué);2005年

7 王占鋒;基于動(dòng)態(tài)克隆選擇的入侵檢測研究[D];哈爾濱理工大學(xué);2006年

8 王寶;承壓管道無盲區(qū)端頭檢測方法的研究[D];合肥工業(yè)大學(xué);2004年

9 李曉薇;基于管理Agent的協(xié)作式入侵檢測技術(shù)的研究[D];江蘇大學(xué);2007年

10 袁立威;基于性能計(jì)數(shù)器的攻擊檢測，，防御與分析[D];復(fù)旦大學(xué);2011年

本文編號(hào)：2255431