期刊介绍
期刊导读
- 05/09中国演员干扰Faker排位!LOL官方将整治演员行为
- 05/09哈佛研究发现:“看电视”和“不看电视”的孩
- 05/09她身体有不死细胞,医生通过研究造福人类,后
- 05/09中国主要城市居民健康行为“体检”报告出炉 总
- 05/09研究:失智风险或与中老年睡眠时间有关
网络安全中恶意软件的行为研究与检测
1 背景
恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行损害系统和偷取用户隐私信息的软件。这类如病毒、蠕虫、木马、后门的恶意软件已经成为计算机和网络最大的威胁之一①。恶意软件的开发者编写如间谍软件、广告软件等狭义角度意义上的恶意软件,在网络上传播和蔓延,使得接入互联网的任何系统都处于将被攻击的风险中。
面对恶意行为带来的信息安全问题,安全产品的分析人员开发出自动化分析程序工具用以抽取和分析恶意软件的行为。然而,恶意程序有时能检测出模拟或虚拟的分析环境,为了逃避分析工具的检测,它会减少攻击行为或立即结束进程。这种恶意代码与安全软件之间的对抗日益加剧。所以,对网络程序的恶意行为进行检测和研究成为了信息安全方面迫切需要解决的问题。
2 恶意软件的行为研究
2.1 注册表操作
一般来说每类文件都会有各自默认的打开方式和程序,且打开方式都会注册在注册表里。大部分恶意软件会在特定的位置采用更改文件关联程序的方式达到打开文件的同时而自动运行的目的。
2.2 文件操作
有些恶意软件不需要修改注册表,利用修改win.ini和这类系统文件来启动自身程序。这类恶意软件一般采用更改系统设置,如禁用任务管理器;禁用隐藏文件或系统的显示开关;禁用注册表、禁用文件夹选项等,用来降低计算机发现的难度。为达到开机自启动的目的,有的恶意软件则将自己添加到系统根目录下的和windows目录下的文件中,有的恶意软件是通过将自己添加到开始菜单的“启动”文件选项中;有的恶意软件将系统的必须和重要文件替换成自身程序代码,因此系统运行时就会启动被替换的程序和这类恶意软件,一般用户很难发现。
2.3 部署调用工具
恶意软件调用,部署工具的行为主要分为部署于系统文件的相似文件与更改自身文件名和删除自身这两种方式。大多数恶意软件在下载成功后为获取用户活动和完成向外传输信息任务,通常会在windows或system目录下生成若干个可执行恶意软件的文件工具,如等。有的恶意软件如果运行成功,就将随机更改文件名或自我删除,使用户很难发现。
2.4 连接指定站点
基本所有的恶意软件都要通过访问网络来达到感染计算机的目的,通常先向外发出连接请求,再利用邮件的形式把用户信息传送出去。有的恶意软件则是利用连接定向的站点和服务器,下载大量的间谍软件和盗号木马,甚至利用恶意软件下载器把恶意程序代码下载到用户的计算机系统上,然后进行加载并完成感染。有的恶意软件则是利用用户计算机系统上的ARP恶意攻击程序代码对其所在的网络进行ARP欺骗攻击,最后严重影响到网络安全。
2.5 隐藏活动界面
恶意软件在活动时,一般都会将自身的运行程序和窗口隐匿起来,在工具栏和任务栏上用户都无法找到恶意软件的行踪,达到不被用户发现的目的,有利于恶意程序在操作系统中长期运行和驻留。
2.6 操作其它进程
有的恶意程序为达到开机自动启动的目的,将自身注册为系统服务。有的恶意软件则采用通过伪装的方法来达到隐藏自己的目的,令用户很难察觉,主要包括真隐藏和伪隐藏两种不同的类型。有的恶意软件在运行的过程中会关闭一些如杀毒软件和防火墙的正常进程,或启动其他恶意程序进程,实施强度更大的破坏活动。
2.7 浏览器劫持
有的恶意软件在未得到管理员许可的情况下,通过自行篡改用户浏览器的相关设置,致使用户无法正常上网或强迫用户访问站点。浏览器劫持行为主要包括不能正常上网,对用户所访问网站的类型内容擅自进行删除、添加、修改与迫使用户访问指定网站或限制用户修改浏览器设置三种不同类型的行为现象。
2.8 恶意收集用户信息
有些恶意软件在未经用户许可的情况或未明确提示用户下(用户无法查看自己的信息是否被收集,未提示用户是否允许收集信息的选项),恶意收集用户的信息。
从软件恶意行为及其发展来看,恶意软件主要存在传播多样化、多平台;基于系统缺陷的攻击时间缩短;存活能力增强;基于系统缺陷的攻击时间缩短;破坏性和易用性更大等发展趋势。
3 恶意软件检测工具的设计
文章来源:《心理与行为研究》 网址: http://www.xlyxwyj.cn/qikandaodu/2021/0510/416.html
上一篇:市场营销中不正竞争行为研究
下一篇:基于电子书包优化师生课堂互动