机构名称:
¥ 1.0
数字取证中的优化恶意软件检测 SaeedAlmarri 和 Paul Sant 博士 英国卢顿贝德福德郡大学应用计算研究所 英国米尔顿凯恩斯米尔顿凯恩斯大学副院长 摘要 在互联网上,恶意软件是对系统安全的最严重威胁之一。任何系统上的大多数复杂问题都是由恶意软件和垃圾邮件引起的。网络和系统可以被称为僵尸网络的恶意软件访问和破坏,这些恶意软件通过协同攻击破坏其他系统。此类恶意软件使用反取证技术来避免检测和调查。为了防止系统受到此恶意软件的恶意活动的侵害,需要一个新的框架来开发一种优化的恶意软件检测技术。因此,本文介绍了在取证调查中执行恶意软件分析的新方法,并讨论了如何开发这样的框架。关键词 拒绝服务(DOS)、Wireshark、Netstat、TCPView、Sleuth Kit(TSK)、Autopsy、数字取证、恶意软件分析、框架 1. 简介 在过去十年中,检测恶意软件活动的技术有了显著的改进[1]。通过互联网加载和分发可执行文件始终会对系统的整体安全构成风险[2]。恶意软件程序可以通过在无害文件或应用程序中附加隐藏的恶意代码来安装。然后,远程程序员可以激活该代码,以威胁现有系统。根据 Islam 等人关于下载风险的研究[3],在下载的 450,000 多个文件中,约 18% 包含恶意软件程序。他们还调查了不同的代码调查技术是否产生相同的结果。令人惊讶的是,他们发现在许多情况下,取证调查工具无法检测到被感染文件的恶意软件内容。人们投入了大量精力来开发执行稳健计算机取证调查的技术 [6]。这些努力主要集中在收集、分析和保存恶意软件活动的证据,例如,一项关于僵尸网络的研究 [4] 和一项关于可执行间谍软件和客户端蜜罐的研究 [5] 也说明了在客户端和服务器端访问时保护系统的防御机制。[3][6] 中提到的其他报告也侧重于获取大量不同的恶意软件样本,以便研究人员和取证专家了解其性质及其原理。一些现有的工具,如 ERA 清除器、conficker 等,可以执行隐藏和匿名文件并监视其行为。这些工具可保护系统免受与恶意软件相关的所有威胁。根据 Kasama 等人 (2012) 的报告,一个恶意软件就可以危害和感染整个网络系统。因此,保护系统免受恶意代码的侵害可被视为信息安全中最关键的问题之一[6]。
数字取证中优化的恶意软件检测
主要关键词
相关文件推荐
