互联网技术的发展、资源共享需求的增大,给恶意代码的传播提供了有利条件,给信息系统的安全造成了严重威胁。针对日益严重的恶意代码的问题,本文对恶意代码的传播机理和检测防御进行了研究,主要做了以下几个方面的工作:1.给出了恶意代码的定义、特点,结合恶意代码攻击的新特点,对恶意代码按照攻击行为等角度重新进行了分类,对间谍软件、网络钓鱼、即时消息攻击等目前流行的和新出现的恶意代码及攻击形式进行了分析,较为全面地给出了恶意代码的攻击方式及其危害,并进行了对比分析,为后面的分析研究作了准备。2.深入分析了各类恶意代码的传播途径和机理。论文第三章给出了PE病毒、宏病毒、脚本病毒等计算机病毒的感染原理;对木马的传播途径进行了归纳和概括,并在主机和通信两个方面给出了木马常用的隐藏手段和生存技术;对蠕虫的功能结构和工作原理作了分析,给出了蠕虫传播关键环节——扫描的技术细节和常见方法,对几种蠕虫的重要攻击方法,如缓冲区溢出攻击、DoS攻击等作了分析和概括;针对目前流行的间谍软件和网络钓鱼等攻击形式,给出了攻击的原理和流程,并结合目前越来越多的Web服务概括了其攻击和传播的途径。3.针对恶意代码的本质特点,给出了误用检测、异常检测、权限控制等恶意代码检测防御技术的原理和工作模型,并从基于主机和基于网络两个角度分析恶意代码检测技术的实施和应用,并从入侵检测系统的角度,分析了各种检测防御技术的综合运用和实施。4.从主机系统攻击防范角度,提出了一种基于Windows API实时监测的恶意代码防御策略,该方案通过对恶意攻击行为的模式特点分析,从权限控制角度,设计了一种通过检测系统API调用来阻断恶意代码攻击的方法。5.从整体防范的角度,提出了一个主机实时监测系统、防火墙和IDS联动的检测防御模型,通过联动来提高IDS的主动性,改善IDS对检测防范策略的优化和策略的及时性,从而提高应对恶意代码攻击整体化、立体化特点的能力。6.从主机系统攻击防范角度,针对键盘监控、密码窃取等形式的恶意代码攻击,通过对键盘监控攻击的技术原理分析,提出了一种Win32环境下防范键盘记录的技术方案。该方案利用Windows下开发语言的特点,通过窗口子类化技术,以及控件的数据交换机制(DDX),对获取控件键盘输入信息的Windows消息进行身份校验,从而防止键盘的记录和信息的窃取。总之,本文对恶意代码的传播机理和检测防御技术进行了有益的探索,为进一步研究恶意代码的防范及恶意代码防范系统设计提供了一定的依据。