【摘要】：隨著網(wǎng)絡規(guī)模的不斷擴大以及網(wǎng)絡技術的快速發(fā)展,惡意代碼攻擊呈現(xiàn)出專業(yè)性、趨利性與組織性的特點,從而給計算機安全與網(wǎng)絡安全都帶來了巨大的隱患。因此,必須對惡意代碼進行檢測,以避免計算機與網(wǎng)絡遭到破壞,從而確保個人與企業(yè)的利益不受到損害。 本文對基于規(guī)則匹配的惡意代碼檢測方法進行了深入的研究,并提出了基于頻率統(tǒng)計的檢測規(guī)則與高速的單模式匹配算法。論文的主要研究內(nèi)容包括： 1、提出了異常網(wǎng)絡行為的檢測與優(yōu)化方法。為了提高惡意代碼的檢測效率,就必須確保基于規(guī)則匹配的檢測系統(tǒng)所用的規(guī)則集盡可能小而且有效。因此,本文首先對Snort系統(tǒng)的檢測規(guī)則進行了細化,優(yōu)化了檢測規(guī)則樹,然后把規(guī)則樹中的規(guī)則進行匹配頻率統(tǒng)計,將各端口下的三個規(guī)則子集進一步劃分為常用子集與非常用子集,從而構造出更小更有效的規(guī)則集。 2、提出了高速的單模式匹配算法。通過對模式匹配算法BM算法、BMH算法、SBM算法了分析,提出了高速的單模式匹配算法。實驗表明,HSPM算法通過綜合使用BMH算法與SBM算法,從而實現(xiàn)了以更少的時間和匹配次數(shù)達到與BMH算法和SBM算法相同的識別率。 3、實現(xiàn)了基于QEMU的惡意代碼原型驗證系統(tǒng)。首先通過對QEMU源碼的修改搭建了虛擬測試網(wǎng)絡,然后對基于規(guī)則匹配的惡意代碼原型驗證系統(tǒng)的三個模塊進行了實現(xiàn),最后從四個方面對系統(tǒng)的性能進行了測試,測試表明本文所實現(xiàn)的系統(tǒng)達到了預定的設計目標與要求。
[Abstract]:With the continuous expansion of network scale and the rapid development of network technology, malicious code attacks show the characteristics of professionalism, profitability and organization, which bring huge hidden trouble to computer security and network security. Therefore, malicious code must be detected to avoid damage to computers and networks and to ensure that the interests of individuals and businesses are not compromised. In this paper, the detection method of malicious code based on rule matching is deeply studied, and the detection rules based on frequency statistics and the high speed single pattern matching algorithm are proposed. The main research contents are as follows: 1. The detection and optimization method of abnormal network behavior is proposed. In order to improve the detection efficiency of malicious code, it is necessary to ensure that the rule set used in rule-based detection system is as small as possible and effective. Therefore, this paper firstly refines the detection rules of Snort system, optimizes the detection rule tree, and then calculates the matching frequency of the rules in the rule tree. The three rule subsets under each port are further divided into common subsets and non-common subsets, thus a smaller and more effective rule set is constructed. 2. A high speed single pattern matching algorithm is proposed. Based on the analysis of BM algorithm, a high speed single pattern matching algorithm is proposed. The experimental results show that the HSPM algorithm can achieve the same recognition rate as the BMH algorithm and the SBM algorithm with less time and matching times by combining the BMH algorithm and the SBM algorithm. 3. The prototype verification system of malicious code based on QEMU is implemented. First, the virtual test network is built by modifying the QEMU source code, then the three modules of the prototype verification system based on rule matching are implemented. Finally, the performance of the system is tested from four aspects. The test results show that the system achieved the predetermined design goals and requirements.
【學位授予單位】：中國科學院大學（工程管理與信息技術學院）
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 ;看空氣質(zhì)量 鍛煉身體[J];電腦愛好者(普及版);2012年08期

2 馬立權,高巖,謝崇光,葛平,張樹娟;通用微機檢測軟件設計[J];大連輕工業(yè)學院學報;2000年02期

3 張立瑩;;你的電腦硬件可好? 檢測軟件大閱兵[J];新電腦;2006年03期

4 方宏;;車輛檢測線工位檢測軟件的研制[J];機械制造與自動化;2007年02期

5 張曉華;;入侵檢測軟件應用解析[J];硅谷;2010年14期

6 廖佳 ,方華;微機檢測技術[J];電子與電腦;1994年03期

7 孟曉明;網(wǎng)絡信息的入侵檢測技術與方法研究[J];現(xiàn)代圖書情報技術;2004年02期

8 李素娟;;硬件檢測的新利器:Everest[J];辦公自動化;2004年08期

9 徐建;游靜;劉鳳玉;;基于免疫遺傳的軟件衰退檢測算法[J];計算機科學;2006年01期

10 黃建榮;胡躍明;戚其豐;;基于圖像的產(chǎn)品檢測軟件的設計[J];電子工藝技術;2008年03期

相關會議論文 前4條

1 朱建平;顧健;邱梓華;沈亮;;2003年信息安全產(chǎn)品檢測概況[A];第十九次全國計算機安全學術交流會論文集[C];2004年

2 陳其偉;;談形象直觀的檢測圖形報告不可忽視的作用[A];第十五屆全國汽車檢測技術年會論文集[C];2011年

3 奚琪;王清賢;曾勇軍;;惡意代碼檢測技術綜述[A];計算機研究新進展（2010）——河南省計算機學會2010年學術年會論文集[C];2010年

4 鄢鵬;王忠;;以太局域網(wǎng)的監(jiān)聽檢測原理與實現(xiàn)[A];四川省通信學會二零零四年學術年會論文集（二）[C];2004年

相關重要報紙文章 前10條

1 早報記者 陳斯斯　實習生 周雅涵;畢業(yè)臨近論文檢測軟件熱賣[N];東方早報;2011年

2 齊繼戰(zhàn)　記者 王梅;杜絕機動車安檢中的“貓膩”[N];中國質(zhì)量報;2009年

3 本報記者 曹樹林　朱虹;網(wǎng)上“論文反抄襲”檢測可信嗎[N];人民日報;2011年

4 ;薄弱環(huán)節(jié)檢測[N];中國計算機報;2000年

5 本報實習記者 鄭梅云;畢業(yè)季催熱論文檢測軟件 功能變味難遏抄襲風[N];通信信息報;2014年

6 劉立才;探索VTS維護管理之路[N];中國水運報;2008年

7 內(nèi)蒙古 王f ;檢測軟件也出錯[N];電腦報;2004年

8 劉立才;遼寧海事局：自主創(chuàng)新實現(xiàn)VTS自檢自修[N];中國交通報;2008年

9 本報通訊員 胡娜　記者 王兵;四兩撥千斤的智慧[N];中國氣象報;2011年

10 ;安全軟件市場增長迅猛[N];網(wǎng)絡世界;2001年

相關博士學位論文 前2條

1 李宗林;骨干通信網(wǎng)中的分布式隱蔽流量異常檢測方法研究[D];電子科技大學;2010年

2 任少斌;基于形態(tài)學圖像技術的群體檢測方法研究[D];太原理工大學;2011年

相關碩士學位論文 前10條

1 秦彩杰;基于多線程事件同步技術的鈣離子濃度檢測軟件的設計[D];華中科技大學;2007年

2 黃劍軍;基于帶權歐氏距離的殼檢測與脫殼技術的研究[D];杭州電子科技大學;2009年

3 史慶慶;基于后綴數(shù)組的克隆代碼檢測研究[D];內(nèi)蒙古師范大學;2013年

4 宋述燕;胞內(nèi)鈣離子熒光顯微檢測軟件的研制[D];華中科技大學;2005年

5 汪克敏;基于數(shù)據(jù)挖掘的入侵檢測技術的研究[D];電子科技大學;2011年

6 朱小棟;數(shù)據(jù)挖掘技術在智能入侵檢測中的應用研究[D];安徽大學;2005年

7 王占鋒;基于動態(tài)克隆選擇的入侵檢測研究[D];哈爾濱理工大學;2006年

8 王寶;承壓管道無盲區(qū)端頭檢測方法的研究[D];合肥工業(yè)大學;2004年

9 李曉薇;基于管理Agent的協(xié)作式入侵檢測技術的研究[D];江蘇大學;2007年

10 袁立威;基于性能計數(shù)器的攻擊檢測，，防御與分析[D];復旦大學;2011年

本文編號：2255431