恶意代码检测记录表
- 格式:docx
- 大小:15.48 KB
- 文档页数:1
恶意代码检测记录表
基本信息
外包项目名称
检查时间
检查地点
委托方检查人员
软件开发单位
承包方开发人员
软件名称 恶意代码库 检查方式(技术评审、测试) 检查结论
问题与对策
恶意代码检测记录表
基本信息
外包项目名称
检查时间
检查地点
委托方检查人员
软件开发单位
承包方开发人员
软件名称 恶意代码库 检查方式(技术评审、测试) 检查结论
问题与对策
国际联网信息系统网络安全检查表
时间: 年 月 日
被检单位名称
单位地址
负责人 联系电话
联网情况 接入方式(服务商) _______________________
账号(电话) _____________________________
联网主机数 _______________________________
IP地址 ___________________________________
服务内容 _________________________________
联网用途 _________________________________ 网络拓扑图:
(附后)
组织制度 单位成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制
组长落实小组人员岗位工作职责
配备2到4名计算机安全员,须持证上岗
制定网络安全事故处置措施
安全保护
管理制度 计算机机房安全保护管理制度
用户登记制度和操作权限管理制度
网络安全漏洞检测和系统升级管理制度
交互式栏目24小时巡查制度
电子公告系统用户登记制度
信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度
违法案件报告和协助查处制度
备案制度
安全保护
技术措施 具有保存60天以上系统网络运行日志和用户使用日志记录功能,内容包括IP地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址,交互式栏目的信息等
安全审计及预警措施
网络攻击防范、追踪措施
计算机病毒防治措施
身份登记和识别确认措施
交互式栏目具有关键字过滤技术措施
开设短信息服务的具有短信群发限制、过滤和删除等技术措施
开设邮件服务的,具有垃圾邮件清理功能 2 信息系统检查项目表
(安全技术措施)
类别 检查项目 安全标准 是否符合安全标准 备 注
恶意代码及其检测技术
1.恶意代码概述
1.1定义
恶意代码也可以称为Malware,目前已经有许多定义。例如Ed
Skoudis将Malware定义为运行在计算机上,使系统按照攻击者的意愿执行任务的一组指令。微软“计算机病毒防护指南”中奖术语“恶意软件”用作一个集合名词,指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。随着网络和计算机技术的快速发展,恶意代码的传播速度也已超出人们想象,特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。很多编程爱好者把自己编写的恶意代码放在网上公开讨论,发布自己的研究成果,直接推动了恶意代码编写技术发展。所以目前网络上流行的恶意代码及其变种层出不穷,攻击特点多样化。
1.2类型
按照恶意代码的运行特点,可以将其分为两类:需要宿主的程序和独立运行的程序。前者实际上是程序片段,他们不能脱离某些特定的应用程序或系统环境而独立存在;而独立程序是完整的程序,操作系统能够调度和运行他们;按照恶意代码的传播特点,还可以把恶意程序分成不能自我复制和能够自我复制的两类。不能自我复制的是程序片段,当调用主程序完成特定功能时,就会激活它们;能够自我复制的可能是程序片段(如病毒),也可能是一个独立的程序(如蠕虫)。
2.分析与检测的方法
恶意代码与其检测是一个猫捉老鼠的游戏,单从检测的角度来说。反恶意代码的脚步总是落后于恶意代码的发展,是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件、完整性校验法以及手动检测,基于网络的检测方法主要有基于神经网络”、基于模糊识别“等方法,本文主要讨论基于主机的检测。
2.1 恶意代码分析方法
2.1.1 静态分析方法
是指在不执行二进制程序的条件下进行分析,如反汇编分析,源代码分析,二进制统计分析,反编译等,属于逆向工程分析方法。
(1)静态反汇编分析,是指分析人员借助调试器来对而已代码样本进行反汇编出来的程序清单上根据汇编指令码和提示信息着手分析。
第32卷第7期 2015年7月 计算机应用与软件 Computer Applications and Software V0L 32 No.7 Ju1.2015 分析多类特征和欺诈技术检测JavaScript恶意代码 徐青朱焱唐寿洪 (西南交通大学信息科学与技术学院 四川成都610031) 摘要 JavaScript作为一种编程/脚本语言,已经广泛应用于Web开发,以增加更多的动态功能和效果,最终改善用户体验。然 而它的动态特征在提升用户与网站的交互能力的同时也带来了安全问题。通过注入恶意JavaScript代码,攻击者可在网页中加入恶 意内容,传播病毒、木马,实现网络钓鱼攻击。通过对大量网页恶意代码的研究,对网页JavaScript恶意代码特征进行分类,构建了基 于JavaScript代码基本统计信息,基于混淆技术、基于URL重定向技术,基于恶意攻击过程四类特征的分类模型。采用多种基于机 器学习的分类方法对恶意代码样本进行检测,完成对该分类模型的验证。实验表明,基于上述特征形成的分类模型对恶意代码具有 较好的识别能力。 关键词 恶意代码JavaScript机器学习 恶意检测 中图分类号TP3 文献标识码A DOI:10.3969/j.issn.1000-386x.2015.07.070 ANALYSING MULTI.TYPE FEATURES AND FRAUD TECHNoLoGY To DETECT JAVASCRIPT MALICIoUS CoDE Xu Qing Zhu Yan Tang Shouhong (School ofInformation Science and Technology,Southwest Jiaotong Unive ̄i@,Chengdu 610031,Sichuan,China) Abstract JavaScript,as a programming/scripting language,has been widely used in web development for adding more dynamic functions and effects,and eventually improve users’experiences.Because of its dynamic characteristics,however the security problem is also imported while raising the interaction capability between users and web sites.By injecting malicious JavaSeript code,the attackers call insert malicious contents to web pages,as well as spread viruses or Trojans,etc.mad implement phishing attacks.Based on the study of large number of malicious code in web pages,we made the classification on the features of malicious JavaScript code in web pages,and buih the classification models for four kinds of feathers:the JavaScript code.based basic statistical information feature,the obfuscation techniques-based feature,tlle URL redirection technology.based feature。and the malicious attacks-based feature.We used a couple of machine learning.based classification algorithms to detect the malicious code samples to complete the verification of these classification models.Experiment showed that these classification models formed based on the above features have good capability in identifying the malicious codes. Keywords Malicious code JavaScript Machine learning Malicious detection 0 引 言 随着网络技术的高速发展,越来越多的网页提供基于Web 的服务,浏览器和网页逐渐成为恶意代码传播和攻击的主要渠 道。恶意网页指的是包含恶意内容的网页,使得病毒、木马等可 借其进行蔓延传播或攻击,其代码一般采用JavaScript、VBScript 等脚本语言进行编写实现,通过各种手段来躲避检测。网页恶 意代码利用用户浏览器插件中的漏洞,在用户毫不知情的情况 下窃取用户个人信息、在用户端运行恶意软件,如广告软件,木 马等,给用户带来极大的安全隐患。为了抵制恶意代码的攻击, 大多数的用户倾向于依赖各种杀毒软件的保护。然而,为了逃 避杀毒软件基于特征匹配的检测,恶意JavaScript代码大量使用 混淆技术来保护隐藏自己,使得检测变得复杂与困难。Google 的研究显示,中国的恶意站点占到了总数的67%,且呈现一个 快速上升的趋势。中国已成为网页恶意代码的重灾区,而相关 的研究和检测技术都还不成熟,难以跟上恶意代码的发展速度, 因此对于恶意代码的检测极具研究价值和应用意义。 对于恶意代码的检测通常分为静态检测方法、基于执行检 测方法和基于JavaScript代码检测方法。传统基于静态网页的 检测方法一般对IP地址、URL信息、网页源码等进行检测,检测 方法简单快速,系统资源消耗小,但难以处理各种代码混淆,准 确率低。在虚拟机中开启真实浏览器访问网页,基于执行的检 测方法通过监测执行过程获取动态特征,这个检测方法准确率 高,但资源消耗大,在处理大规模网页检测时较为困难。网页一 般使用JavaScript代码来实现动态功能,通过提取JavaScript代 码中的字符串操作、数据编码解码、函数调用等特征,网页的动 态特征就会在这些特征中有所体现,其检测准确率较高,介于检 测静态检测方法和基于执行检测方法之间,但检测技术起步较 收稿日期:2014—01—25。四川省学术和技术带头人后备人选培养 基金支持项目(X800912371309)。徐青,硕士,主研领域:Web信息挖 掘。朱焱,教授。唐寿洪,硕士。
第38卷
V01.38 第2期
NO.2 计算机工程
Computer Engineering 2012年1月
January 2012
・安全技术・ 文章编号:1000___3428(2012)o2-_0129—03 文献标识码:A 中图分类号:TP309,TP393
基于行为特征的恶意代码检测方法
左黎明,汤鹏志,刘二根,徐保根
(华东交通大学基础科学学院,南昌330013)
摘要:研究基于行为特征的恶意代码检测模型及其实现方式,并分析实现中的关键技术。使用自定义行为特征编码模板进行恶意代码匹
配,将短周期内2次匹配成功作为判定恶意代码的标准,利用最大熵原理分析2次恶意代码行为的信息论特征。实验结果表明,该方法具
有较低的病毒检测误报率和漏报率,并且能有效防范未知恶意代码。 关健词:数据安全;恶意代码;行为特征;病毒检测;最大熵
Malicious Code Detection Method
Based 0n Behavior Characteristic
ZUO Li-ming,TANG Peng-zhi,LIU Er-gen,XU Bao-gen
(School of Basic Science,East China Jiaotong University,Nanchang 330013,China)
[Abstractl This paper researches the model for detection method of malicious codes based on characteristics of malicious behaviors,and analyzes
the key techniques in the realization.The method LIses customizing code of the malicious behavior to match and uses two malicious behaviors in