淺析土木檢測(cè)方法的改進(jìn)

淺析土木檢測(cè)方法的改進(jìn)

特洛伊木馬是竊取用戶信息的重要手段之一?，F(xiàn)在，網(wǎng)絡(luò)盜竊的問題越來越嚴(yán)重。特洛伊木馬的研究受到了越來越多的關(guān)注。與病毒、蠕蟲和其他惡意軟件不同，特洛伊木馬通常不會(huì)對(duì)用戶系統(tǒng)造成重大影響。他們經(jīng)常躲在用戶的計(jì)算機(jī)上，竊取和監(jiān)視各種文件，監(jiān)控用戶的動(dòng)作，并從各種系統(tǒng)收集用戶信息。用戶對(duì)此不知道。因此，隱蔽性是特洛伊木馬最重要的特征。隨著網(wǎng)絡(luò)應(yīng)用服務(wù)的繁榮，特洛伊木馬檢測(cè)面臨著巨大的挑戰(zhàn)。已有的木馬檢測(cè)方法可以分為兩類:基于主機(jī)的檢測(cè)方法和基于網(wǎng)絡(luò)的檢測(cè)方法.多數(shù)基于主機(jī)的檢測(cè)方法存在一個(gè)共同的問題:如果惡意代碼經(jīng)過加密或結(jié)構(gòu)重組,那么已有的檢測(cè)方法將無法識(shí)別新生成的惡意代碼.這個(gè)問題隨著加密和打包軟件(如ASPack,FSG,PEX,Petite,UPX)的流行而日益突出.基于系統(tǒng)行為的檢測(cè)方法要求對(duì)系統(tǒng)平臺(tái)有非常深入的了解,其復(fù)雜性導(dǎo)致了較大的實(shí)現(xiàn)難度.另外,利用系統(tǒng)調(diào)用劫持和重排可以達(dá)到逃避檢測(cè)的目的;基于網(wǎng)絡(luò)的檢測(cè)方法,大多是利用深度包檢測(cè)技術(shù)(deeppacketinspection),通過提取應(yīng)用層負(fù)載的特征值實(shí)現(xiàn)對(duì)木馬的檢測(cè).雖然能夠取得較高的準(zhǔn)確率,但是只能檢測(cè)已知的木馬實(shí)例.本文力圖利用網(wǎng)絡(luò)行為分析領(lǐng)域中的概念、思想和方法,解決已有木馬檢測(cè)手段中所存在的不足和缺點(diǎn).定義IP對(duì)通信會(huì)話,從網(wǎng)絡(luò)層和傳輸層兩個(gè)層次對(duì)木馬和正常應(yīng)用的網(wǎng)絡(luò)通信行為進(jìn)行分析;基于通信行為特征和層次聚類方法,建立木馬和正常應(yīng)用的網(wǎng)絡(luò)通信行為模型;利用建模結(jié)果對(duì)木馬的通信行為進(jìn)行檢測(cè).本文所探討的基于網(wǎng)絡(luò)行為分析的木馬通信檢測(cè)方法是已有的基于網(wǎng)絡(luò)檢測(cè)技術(shù)的補(bǔ)充.1基于網(wǎng)絡(luò)的木馬檢測(cè)算法基于主機(jī)的木馬檢測(cè)一直是研究的熱點(diǎn).Thimbleby等人對(duì)木馬模型框架進(jìn)行了研究并給出了木馬的形式化模型.Levine等人的研究為如何對(duì)木馬進(jìn)行特征化描述提供了一些方法.Bergeron等人提出了一種檢測(cè)可執(zhí)行程序中惡意代碼的靜態(tài)方法.所謂的靜態(tài)方法,就是在程序沒有運(yùn)行的情況下直接分析程序的二進(jìn)制代碼,預(yù)測(cè)程序運(yùn)行的各種行為特征.但是,這種方法過分依賴程序的源代碼,由于很多商業(yè)軟件無法獲得源代碼,因此這種方法并沒有可行性.Kim等人在基于文件完整性理論的基礎(chǔ)上,提出了一種木馬檢測(cè)系統(tǒng)——TripWire,該系統(tǒng)利用Hash算法計(jì)算文件的校驗(yàn)和,通過檢查校驗(yàn)和的一致性判斷文件是否被感染、替換、修改.但大多數(shù)用戶不可能對(duì)所有文件都計(jì)算校驗(yàn)和,所以此方法應(yīng)用起來困難重重.Weber等人提出了一種檢測(cè)可移植執(zhí)行文件(windowsportableexecutablefile)是否被惡意軟件感染的工具模型——PEAT(portableexecutableanalysistoolkit).PEAT可以通過對(duì)可移植執(zhí)行文件的結(jié)構(gòu)分析,檢測(cè)文件是否在編譯后被注入了惡意代碼.由于基于主機(jī)的木馬檢測(cè)已經(jīng)無法滿足安全上的需要,因此基于網(wǎng)絡(luò)的木馬檢測(cè)得到了越來越多的關(guān)注.Snort是最為流行的入侵檢測(cè)系統(tǒng),它配置大約2500條規(guī)則用于檢測(cè)掃描和攻擊.Myers等人通過對(duì)特殊數(shù)據(jù)打標(biāo)記的方法,檢測(cè)流量中是否含有敏感、機(jī)密信息,并以此來判斷是否為木馬通信.由于這種方法涉及到應(yīng)用層負(fù)載數(shù)據(jù)的檢測(cè),因此對(duì)加密過的負(fù)載內(nèi)容就無能為力.Borders等人指出由于加密、混淆等偽裝技術(shù)的發(fā)展,使得基于特征值的檢測(cè)已不能作為單一的檢測(cè)手段.Gartner于2005年發(fā)布的報(bào)告中指出,用戶網(wǎng)絡(luò)行為分析已經(jīng)成為安全領(lǐng)域的研究熱點(diǎn),只要能為用戶正常的網(wǎng)絡(luò)行為建立模型,就能夠依據(jù)正常行為模型檢測(cè)出異常的網(wǎng)絡(luò)行為.Gu等人研究木馬與外界的信息交互方式,分析了命令-控制方式在通信流量上的行為特征.另外,Binkley等人提出了一種基于IRC特征統(tǒng)計(jì)與TCP協(xié)議相結(jié)合的方法來檢測(cè)基于IRC通信的惡意軟件.McHugh等人研究有關(guān)隱藏通道的問題,木馬經(jīng)常利用隱藏通道來傳送信息.AsSadhan等人研究發(fā)現(xiàn)木馬每隔一段時(shí)間就會(huì)接收命令、更新數(shù)據(jù)、發(fā)送信息,這會(huì)導(dǎo)致通信流量中表現(xiàn)出周期性的特點(diǎn).崔翔等人對(duì)僵尸網(wǎng)絡(luò)的通信方式進(jìn)行了總結(jié)和論述.本文研究的方法獨(dú)立于應(yīng)用層負(fù)載,因此不受加密、混淆手段的影響.另外,此方法結(jié)合網(wǎng)絡(luò)層和傳輸層兩個(gè)層次的信息,能夠更有效地描述木馬的網(wǎng)絡(luò)通信行為,是已有網(wǎng)絡(luò)檢測(cè)方法的有效補(bǔ)充.2控制板與黑客服務(wù)安全。根據(jù)如下從通信方式上可以將木馬分為兩類:遠(yuǎn)程控制型木馬和非遠(yuǎn)程控制型木馬.遠(yuǎn)程控制型木馬由被控端和控制端兩部分組成,被控端就是植入被攻擊電腦中的服務(wù)程序,而黑客則通過控制端對(duì)被控端進(jìn)行遠(yuǎn)程遙控操作;另一類木馬是單獨(dú)作業(yè)的,它在被攻擊主機(jī)中自行運(yùn)行,收集機(jī)密數(shù)據(jù)回傳給黑客或控制被攻擊電腦進(jìn)行其他活動(dòng).遠(yuǎn)程控制型木馬提供非常全面的功能,另外它的實(shí)時(shí)性、高效性也是其他木馬無法比擬的.本文主要研究遠(yuǎn)程控制型木馬的網(wǎng)絡(luò)行為和檢測(cè).2.1木馬通信過程分析木馬被控端和控制端在通信過程中會(huì)建立若干條傳輸層連接.我們把這些連接分為主連接和子連接.主連接是控制端和被控端通信時(shí)建立的第1條連接,貫穿于整個(gè)通信周期,用于傳遞命令和?；钚畔?子連接的建立命令由主連接負(fù)責(zé)傳遞,子連接通常對(duì)應(yīng)特定的任務(wù),在任務(wù)執(zhí)行完成后隨即斷開.為了更好地理解木馬通信的過程,我們用一個(gè)過程圖來描述木馬通信中狀態(tài)的變化,如圖1所示:基于上述對(duì)木馬通信過程的分析,本文從3個(gè)方面來闡述木馬的網(wǎng)絡(luò)通信行為.1)主連接是貫穿整個(gè)通信周期的連接,用于傳送命令和?；钚畔?它在大部分時(shí)間內(nèi)是處于空閑的.2)當(dāng)黑客收到被控端返回的結(jié)果后,會(huì)有一個(gè)分析結(jié)果的過程.這個(gè)過程所消耗的時(shí)間要遠(yuǎn)遠(yuǎn)大于數(shù)據(jù)包的時(shí)間間隔,如圖2所示:3)木馬的被控端和控制端在通信過程中會(huì)建立若干條傳輸層連接.這些傳輸層連接之間的關(guān)系具有以下特點(diǎn):①主連接先于任意一子連接建立;②主連接的持續(xù)時(shí)間要遠(yuǎn)長(zhǎng)于子連接,如圖3所示:2.2木馬通信特征木馬通信特征的選擇是基于IP對(duì)通信會(huì)話進(jìn)行的.通信會(huì)話是由兩個(gè)IP(源地址和目的地址)之間相互交換的全部數(shù)據(jù)信息組成的,當(dāng)通信的空閑時(shí)間超過某一閾值(本文為5min)就認(rèn)為會(huì)話結(jié)束.這樣我們可以從網(wǎng)絡(luò)層和傳輸層兩個(gè)層面來提取木馬的通信特征.木馬的網(wǎng)絡(luò)通信行為具有以下明顯的特點(diǎn):1)流出的數(shù)據(jù)包數(shù)要大于流入的數(shù)據(jù)包數(shù);2)流出的數(shù)據(jù)流量也要大于流入的數(shù)據(jù)流量;3)主連接貫穿于整個(gè)通信會(huì)話的周期,其持續(xù)時(shí)間要遠(yuǎn)大于其余子連接;4)攻擊者需要時(shí)間對(duì)返回結(jié)果進(jìn)行分析,以便進(jìn)行下一步的操作,這個(gè)分析時(shí)間要遠(yuǎn)大于數(shù)據(jù)包的時(shí)間間隔.本文選擇的特征包括:OI-pkts,OI-bytes,V-duration,M-interval.oai-ptts被控端流向控制端的數(shù)據(jù)包數(shù)與反方向數(shù)據(jù)包數(shù)的比較.當(dāng)被控端流向控制端的包數(shù)大于反方向的包數(shù),值為1.反之為0.oi-toi被控端流向控制端的字節(jié)數(shù)與反方向字節(jié)數(shù)的比較.當(dāng)被控端流向控制端的字節(jié)數(shù)大于反方向的字節(jié)數(shù),值為1.反之為0.v.dor通信會(huì)話的持續(xù)時(shí)間與主連接持續(xù)時(shí)間之比.m-interwa主連接上的數(shù)據(jù)包時(shí)間間隔的均值.3會(huì)話模型的建立本文在引入IP對(duì)通信會(huì)話的概念后,就把對(duì)木馬通信行為的檢測(cè)轉(zhuǎn)化為對(duì)會(huì)話實(shí)例的檢測(cè).木馬通信的檢測(cè)取決于是否能夠建立起有效描述木馬和正常軟件網(wǎng)絡(luò)行為的模型.我們?cè)诜治瞿抉R實(shí)例的基礎(chǔ)上,采用層次聚類的方法,對(duì)木馬和正常網(wǎng)絡(luò)應(yīng)用的通信行為進(jìn)行建模.然后,采用概率比較的方法對(duì)模型中的類進(jìn)行標(biāo)記.我們把集合I={I1,I2,…,In}視為一組IP對(duì)通信會(huì)話.如果每一個(gè)實(shí)例Ii都已被標(biāo)記為正常或者異常,我們就用這組IP對(duì)通信會(huì)話來建立模型.每一個(gè)會(huì)話實(shí)例Ii用一組屬性向量來描述,Ii={Iij|1≤j≤m},其中m為屬性的個(gè)數(shù),Iij為第i個(gè)會(huì)話實(shí)例的第j個(gè)屬性值.集合C={C1,C2,…,Ck}為模型中類的集合,其中k為模型中類的個(gè)數(shù),每一個(gè)類Ci都被標(biāo)記為正?；蛘弋惓?對(duì)會(huì)話實(shí)例Ie的檢測(cè),實(shí)際上就是判別Ie屬于C的哪一個(gè)元素.3.1基于貝葉斯信息判別式的聚類合并層次聚類是將數(shù)據(jù)集組成一個(gè)樹形的聚類.根據(jù)層次分解的方向,又可以進(jìn)一步分解為凝聚(agglomerative)和分裂(divisive).本文主要采用凝聚的方法對(duì)網(wǎng)絡(luò)通信行為進(jìn)行建模.凝聚的基本思想是針對(duì)要聚類的n個(gè)實(shí)例,計(jì)算它們的n×n的距離矩陣,將最接近的兩個(gè)實(shí)例類合并成一個(gè)類,這樣類的總數(shù)就減少一個(gè),然后重新計(jì)算各類之間的距離,再將最接近的類進(jìn)行合并,以此類推,直到最后合并成一個(gè)類或到達(dá)某個(gè)終止條件為止.算法1.通信會(huì)話層次聚類算法.輸入:會(huì)話實(shí)例集合I={I1,I2,…,In}、類的數(shù)目變量j;輸出:C={C1,C2,…,Ck}.①基于貝葉斯信息判別式(BIC)確定合適的聚類數(shù)目k;②j=n,Ci={Ni,SAi,S2AiAi2,NBi},其Ni為類Ci中的樣本量,SAi為數(shù)值型變量值總和,S2AiAi2為數(shù)值型變量值平方和,NBi為分類型變量各類別的樣本量;③如果j=k,則輸出C={C1,C2,…,Ck};④計(jì)算Ce和Cf之間的距離d(Ce,Cf),并取其中最小的一對(duì);⑤將Ce和Cf合并成一個(gè)新類C〈e,f〉={Ne+Nf,SAe+SAf,S2AeAe2+S2AfAf2,NBe+NBf};⑥去掉Ce和Cf,j=j-1,重復(fù)③～⑥.本文中,我們采用的層次凝聚方法具有以下的特點(diǎn):1)既能處理值為數(shù)值型的變量,也能處理值為分類型的變量;2)能夠自動(dòng)確定聚類的數(shù)目;3)聚類的過程中,只保存每個(gè)中間類的特征統(tǒng)計(jì)值,減少了計(jì)算開銷,適用于大型的數(shù)據(jù)集.3.2用公式生成相似關(guān)系聚類算法最為重要的是如何度量聚類間的相似度.考慮到聚類過程中同時(shí)涉及數(shù)值型變量和分類型變量,本文采取對(duì)數(shù)似然值(Log-likelihood)的距離計(jì)算方法.設(shè)聚類過程中有M個(gè)變量x1,x2,…,xm,其中有Mα個(gè)數(shù)值型變量和Mβ個(gè)分類型變量.如果聚成K個(gè)類,則對(duì)數(shù)似然函數(shù)定義為l=∑k=1K∑t∈Tklnp(xt|θk)=∑k=1Klk,l=∑k=1Κ∑t∈Τklnp(xt|θk)=∑k=1Κlk,其中,p為似然函數(shù),Tk為第k個(gè)類的變量集合,θk是第k個(gè)類的參數(shù)向量.于是,對(duì)已生成的第k個(gè)類和第s個(gè)類,兩者合并后的類記為〈k,s〉,則它們的距離定義為兩類合并之前的對(duì)數(shù)似然估計(jì)l與合并后的對(duì)數(shù)似然估計(jì)lnew的差,即對(duì)數(shù)似然距離定義為d(k,s)=l?lnew=lk+ls?l?k,s?=ηk+ηs?η?k,s?,d(k,s)=l-lnew=lk+ls-l?k,s?=ηk+ηs-η?k,s?,其中,η為對(duì)數(shù)似然函數(shù)的具體形式,定義為ηg=?Ng(∑m=1Mα12ln(S2m+S2gm)+∑m=1MβEgm),Egm=?∑l=1LmNgmlNglnNgmlNg.ηg=-Νg(∑m=1Μα12ln(Sm2+Sgm2)+∑m=1ΜβEgm),Egm=-∑l=1LmΝgmlΝglnΝgmlΝg.上述表達(dá)式中各個(gè)符號(hào)的說明如表1所示:3.3貝葉斯的聚類數(shù)目bic利用貝葉斯信息判別式——BIC的變化量dBIC和變化率R(K)來確定聚類的數(shù)目,即dBIC(K)=BIC(K)?BIC(K+1),R(K)=dBIC(K)dBIC(1),dBΙC(Κ)=BΙC(Κ)-BΙC(Κ+1),R(Κ)=dBΙC(Κ)dBΙC(1),其中,BIC(K)=?2∑k=1Kηk+mKln(N),mK=K[2Mα+∑m=1Mβ(Lm?1)]BΙC(Κ)=-2∑k=1Κηk+mΚln(Ν),mΚ=Κ[2Μα+∑m=1Μβ(Lm-1)],貝葉斯判別式的第1項(xiàng)是K類對(duì)數(shù)似然的總和,是類內(nèi)差異性的總度量.第2項(xiàng)是模型復(fù)雜度的懲罰項(xiàng).合適的聚類數(shù)目應(yīng)該是BIC取最小時(shí)的聚類數(shù)目.3.4標(biāo)記的決策函數(shù)針對(duì)聚類算法生成的類集合C={C1,C2,…,Ck},采用概率比較的方法進(jìn)行標(biāo)記.其中的概率函數(shù)為p(y=xi|Cj)=nijnj,p(y=xi|Cj)=nijnj,xi∈{abnormal,normal},j=1,…,k,nij為類Cj中標(biāo)記為xi的樣本總數(shù),nj為類Cj中的樣本數(shù).定義p(y=abnormal|Cj)為β,p(y=normal|Cj)為α,則標(biāo)記的決策函數(shù)為Cj=?????normal,α>β;abnormal,α<β;unknown,α=β.Cj={normal,α>β;abnormal,α<β;unknown,α=β.4實(shí)驗(yàn)與分析4.1口流量生成訓(xùn)練集和測(cè)試集實(shí)驗(yàn)中使用的數(shù)據(jù)采集自我們實(shí)驗(yàn)室網(wǎng)絡(luò)的關(guān)口流量.將在隔離網(wǎng)絡(luò)中采集的木馬通信流量混入關(guān)口流量,生成訓(xùn)練集和測(cè)試集.我們把關(guān)口流量分成兩份.其中一份為2011-04-08T13:00～2011-04-09T13:00的關(guān)口流量數(shù)據(jù),用于生成訓(xùn)練集;另一份為2011-09-09T8:00～2011-09-14T10:00的關(guān)口流量數(shù)據(jù),用于生成測(cè)試集.4.2評(píng)估量本文采用準(zhǔn)確率和誤報(bào)率兩個(gè)量度對(duì)模型的檢測(cè)效果進(jìn)行評(píng)估.12準(zhǔn)確性表示正確檢測(cè)的木馬通信會(huì)話實(shí)例數(shù)量占測(cè)試集中木馬通信會(huì)話實(shí)例總數(shù)的比例;2誤報(bào)率表示被模型錯(cuò)誤標(biāo)記為木馬會(huì)話的實(shí)例在所有被標(biāo)記為木馬會(huì)話實(shí)例中的比例.4.3木馬和正常應(yīng)用的比較利用3.4節(jié)中的標(biāo)記方法,對(duì)模型中所有的類進(jìn)行標(biāo)記.然后根據(jù){normal,abnormal}分類對(duì)所有被標(biāo)記的類進(jìn)行統(tǒng)計(jì).統(tǒng)計(jì)結(jié)果如圖4所示.圖4(a)顯示木馬通信會(huì)話和正常應(yīng)用會(huì)話在進(jìn)出數(shù)據(jù)包數(shù)上有著明顯的差別.正常應(yīng)用中流入的數(shù)據(jù)包要占到總數(shù)的89%左右,流出的數(shù)據(jù)包不足12%.而木馬通信中流入的數(shù)據(jù)包只占到27.3%,而流出的數(shù)據(jù)包則達(dá)到總包數(shù)的72.7%.顯然,正常應(yīng)用的流入數(shù)據(jù)包遠(yuǎn)大于流出數(shù)據(jù)包,而木馬通信則相反;圖4(b)顯示了在流量方面具有和數(shù)據(jù)包相同的特征.正常應(yīng)用的流入字節(jié)數(shù)要占到64%左右,其流出字節(jié)數(shù)只占到36%.木馬的流出字節(jié)數(shù)要達(dá)到92%以上,而流入的字節(jié)數(shù)不到8%,這是由于木馬的流入數(shù)據(jù)多是一些命令信息,每條命令只有幾百字節(jié)甚至幾十個(gè)字節(jié).圖4(a)(b)說明,在進(jìn)出流量統(tǒng)計(jì)方面,木馬和正常應(yīng)用具有明顯的差別;圖4(c)描述的是在不同種類的通信會(huì)話中,會(huì)話持續(xù)時(shí)間和主連接(第1條連接)持續(xù)時(shí)間之間的比較.圖中不同顏色的點(diǎn)代表著不同種類的通信會(huì)話,對(duì)角線代表著會(huì)話持續(xù)時(shí)間等于主連接的持續(xù)時(shí)間.從圖4(c)可知,幾乎所有的點(diǎn)都處在對(duì)角線的右下方,這說明會(huì)話的持續(xù)時(shí)間總是長(zhǎng)于或等于主連接的時(shí)間.絕大多數(shù)木馬的通信會(huì)話都很接近這條對(duì)角線,而正常應(yīng)用的通信會(huì)話要相對(duì)遠(yuǎn)離對(duì)角線,這說明木馬的主連接時(shí)間比正常應(yīng)用更接近于會(huì)話的持續(xù)時(shí)間;圖4(d)是為了說明主連接(第1條連接)中數(shù)據(jù)包時(shí)間間隔的情況.從該圖我們可以看出,在正常的流量中,大多數(shù)的包間隔都集中在5s以下,5s以下的數(shù)據(jù)包時(shí)間間隔占到總數(shù)的77%以上,僅2s以下的包間隔就達(dá)到大約46%.而10s以上的包間隔非常少,總共不足15%.統(tǒng)計(jì)得出正常流量的包間隔通常比較小.而在木馬通信流量中,數(shù)據(jù)包時(shí)間間隔的分布相對(duì)要離散得多.5s以下的只占到總數(shù)的20%左右,而10s以上的則要占到接近60%,大于15s而小于等于20s的包間隔達(dá)到最高的26%.木馬主連接中的數(shù)據(jù)包時(shí)間間隔要明顯大于正常流量中的,這正如第3節(jié)所分析的那樣,木馬的包間隔要考慮人工分析時(shí)間的影響,而分析時(shí)間要明顯的大于正常的包間隔.結(jié)果分析驗(yàn)證了所選取的特征具有較好的效果.4.4檢測(cè)結(jié)果的檢驗(yàn)我們選取了比較典型的5種木馬作為檢測(cè)的對(duì)象,它們分別是Gh0st,Drat2010,win32.huigezi,Zxshell和Pcshell.利用混有木馬通信流量的測(cè)試集對(duì)模型的檢測(cè)效果進(jìn)行評(píng)估,檢測(cè)結(jié)果如圖5所示.從圖5(a)可以得到,所有木馬通信檢測(cè)的準(zhǔn)確率都在85%以上.在檢測(cè)的木馬中,對(duì)win32.huigezi的準(zhǔn)確率最高達(dá)到92%以上,對(duì)Zxshell的識(shí)別率相對(duì)較低但也在87%左右.實(shí)驗(yàn)證明我們的方法能夠達(dá)到較為理想的檢測(cè)準(zhǔn)確率;從圖5(b)可以看出,木馬通信檢測(cè)的誤報(bào)率平均在6.3%左右;誤報(bào)率最低的是Drat2010,其誤報(bào)率是5%;最高的是win32.huigezi,誤報(bào)率接近9%;Gh0st的誤報(bào)率是7.5%.所有木馬的誤報(bào)率都低于10%,證明方法在誤報(bào)率方面也有較理想的效果.5與文獻(xiàn)的比較1)與文獻(xiàn)的工作進(jìn)行比較.文獻(xiàn)的工作提出了一種基于主機(jī)的惡意代碼檢測(cè)方法.對(duì)程序代碼本身的結(jié)構(gòu)、功能進(jìn)行分析,找出惡意代碼的結(jié)構(gòu)特征和程序執(zhí)行流程特征.由于該方法是直接對(duì)二進(jìn)制代碼進(jìn)行分析,所以過于依賴程序源代碼.目前,很多程序都經(jīng)過加密、壓縮過,直接對(duì)源代碼分析變得非常困難.我們的方法是基于網(wǎng)絡(luò)的,因此是獨(dú)立于程序源代碼的,不會(huì)受到加密、打包工具的影響.2)與文獻(xiàn)的工作進(jìn)行比較.文獻(xiàn)的方法是計(jì)算某個(gè)文件的校驗(yàn)和,并定期地對(duì)該文件進(jìn)行檢查,對(duì)比文件現(xiàn)有內(nèi)容的校驗(yàn)和與原來保存的檢驗(yàn)和是否一致,以此來判