论文部分内容阅读
随着信息技术的发展,各种形式的恶意代码日益增多,现在已经渗透到我们生活的各个方面。现有的安全软件大多需要依赖服务器的支持来更新病毒库,而且对于这些安全软件一直有盗取用户隐私数据的担心。为了解决这些问题,本课题将P2P技术与恶意代码检测及防御技术相结合,建立一种新的机制来对抗恶意代码。 本课题研究的内容主要包括三个部分,分别是检测、防御和响应,其中检测技术就像是矛,防御技术就像是盾,而响应网络就是使用矛和盾来进行战斗的战士。这三个部分相辅相成,缺一不可。 检测关键技术包括两点内容,第一点是分布式代码行为监控,将对代码的监控分散到P2P网络中的一个个节点上,各节点协同监控共同“作战”。第二点是针对恶意代码的挑战测试,为了检测处于潜伏期的恶意代码,采用挑战测试来尽早暴露恶意代码的真实面目。 防御关键技术包括三个部分,第一部分是静态数据扫描,与一般的扫描相比,基于数据差异的扫描更加高效,避免了很多重复、无用的扫描。第二部分是动态数据保护,根据响应网络对恶意代码分析的结果,来决定保护哪些地方,再以重要指数来分层次进行保护。第三部分是自动修复,一方面通过记录文件等修改的差异数据来进行版本回溯,另一方面通过使用P2P网络中分布式的数据来进行修复。通过建立不依赖操作系统运行的PDP-outer,即使操作系统崩溃也可以进行自动修复。 响应关键技术主要包括基于P2P的基础网络的构建和恶意代码的识别及处理两部分。响应网络是由包含众多节点的P2P网络构成,通过节点认证协议、数据传输协议、可信度等安全机制来保证基础网络的安全。通过同步各节点上的分布式的数据来保证黑名单、白名单等数据的一致,这是恶意代码识别和处理数据的前提。通过行为监控响应网络中的节点可以不停地产生行为日志等等数据,课题中讨论了包括使用神经网络在内的几种方法对这些数据进行处理,并且据此来进行自主学习和决策。 经过一年多时间的研究和实验,本课题取得了多项研究成果,主要包括以下三个方面: 1.建立了一种新型的恶意代码检测及防御的方法,解决了需要依赖服务器更新的问题。由于是无中心的,而且开放源代码,解决了隐私数据可被窃取的问题; 2.为了对比本课题提出的检测及防御方法和一般的方法,开发了一个仿真验证程序,可以仿真模拟安全软件与恶意代码对抗的过程; 3.申请了一个以本课题提出的检测及防御方法为核心的发明专利——《一种恶意代码检测及防御的方法》,目前处于受理状态。