Copyright ©2013-2017 中国知网论文查重检测系统入口 All Rights Reserved. 网站备案号:辽ICP备17018872号-4.
恶意网址检测方面主要有3个比较流行的做法:第一个是直接维护一个黑名单,那么下次浏览器在访问某网址的时候,如果该域名已经存在于blacklist中,那么直接阻止访问或弹出警告提醒即可,这种方式最大的一个缺点在于不能及时更新,同时抗干扰能力也比较差,如果人家改了一个域名、或者域名是算法自动生成的,那这种方法就失效了。 Heuristic方法是对blacklist的一种扩展,它根据不同的攻击行为设计相应的签名,然后通过扫描网页来检测是否有相应的签名存在,从而判断是否为恶意网址。
典型的在线恶意软件检测技术包括 VM 内省,动态二进制检测,信息流追踪和软件异常检测等,这些解决方案覆盖范围都有限制并且引入了大量的开销。 应用层探测器软件的特点,在一定程度上将恶意软件检测限制为基于静态签名的扫描工具,这些扫描工具使用模式匹配来查找已知恶意软件的签名,然而使用程序混淆或者简单的代码转换可以轻松避开检测,这些工具的已知的局限性,给攻击者绕过他们提供了机会。 所以,开发底层的恶意软件探测器,使用更简单的分类器实现硬件,可以更高效并且以更低的性能损耗成本实现恶意软件检测。 在本报告中,我们使用 “ 底层”来表示关于执行程序的 计算机 架构信息 。 底层信息是指计算机架构事件,如高速缓存未命中率,分支预测结果,动态指令混合以及数据引用模式。
Ilgun 等人提出了基于规则的IDS检测方法,把攻击过程建模为状态转移图,然后检测过程中将程序行为与状态转移图进行对比。 AIice等人提出了一种基于已知恶意行为的基于签名的蠕虫检测方法,这种方法是通过监视数据流来识别签名。
使用底层信息进行恶意软件检测的研究在国内外都有开展, Bilar 等研究了恶意软件中操作码的使用频率,发现了恶意程序与常规程序操作码的使用频率差异很大。 Santos等人和Yan等人采用了基于操作码序列签名的检测方法,分类器通过对操作码序列的检测来进行分类。