恶意节点识别

恶意节点识别（共4篇）

恶意节点识别 篇1

随着能源问题的日趋严重,太阳能光伏发电的前途很宽广[1]。在研究课题中建立的信息型光伏电站工作在一个开放、合作和高度任意的环境中[2],构成该信息系统的节点完全暴露在物理环境下,非常容易引发各种类型的攻击。在众多攻击中,本文针对选择性转发攻击提取出恶意节点的特征,建立相应的算法模型,对恶意节点进行识别与隔离,并在Matlab上做相应的仿真,证明了该算法的有效性。

1 网络与攻击模型假设

本文研究的信息型光伏发电站系统包括一个中心服务器,L个ARM网关,协调器,M个路由组件,N个节点组件,1个PC客户端和1个移动客户端[3],如图1所示。

信息型光伏系统用于检测光伏板的实时电压、电流、温度、场强。传感器节点被固定在太阳板上,网络拓扑结构稳定后,节点之间的通信是通过多跳完成的[4],将节点1记作S1,节点2记作S2,依次类推,如图2所示。

2 问题描述

如图2所示数据流向是Sensor-to-Sink,S1将数据包转发给S2,S2再将数据包转发给S3,依次到Sink节点。发送的总数据包减去收到的数据包[5]从而测试出丢包率。

3 基于Ada Boosting算法的恶意节点识别与隔离

3.1 节点属性建模

基于上面的研究,将WSN中的节点属性建立一个样本空间S,样本空间里包括节点的四个属性:节点参与度Sc,丢包率Sd,数据包转发率Sz和数据包转发延时Sy,记作S={Sc,Sd,Sz,Sy}。

3.2 Ada Boosting算法过程

Ada Boosting作为集成学习的典型代表,为了便于描述,做如下定义:令S={(xi,yi)|i=1,2,…,m}为样本训练集,其中xi∈X,yi∈Y,Y={-1,+1}。初始化Dt(i)=1 m。当t从1~T进行取值时:

(1)给定一个弱学习算法Dt;

(2)得到一个弱分类器ht:X→Y,并且有误差εt=Pri-Di[ht(xi)≠yi]。

(3)令αt=1 2ln[(1-εt)/εt],更新每个样本的权值:

(4)形成一个强分类器:

上述描述过程,可以用图3进行概括说明。

3.3 算法流程图

将Ada Boosting应用于恶意节点的识别与隔离,确立了如图4所示的研究思路:创建节点属性集-提取特征-训练-测试-评价。

4 实验仿真和结果

本文中的实验工作是在Matlab上实现的。

4.1 仿真模式

将300个节点随机均匀地放置在300 m×300 m的区域上。同时,将区域分为30个事件区域,如图5所示。

4.2 仿真结果

在Matlab上的仿真结果如图6所示,迭代次数越多时误测率越低。

5 结语

针对节点遭遇选择性攻击时,恶意节点显现出来的通信行为特征,建立以节点参与度Sc,丢包率Sd,数据包转发率Sz和数据包转发延时Sy为属性的四维样本空间,利用Ada Boosting算法对恶意节点进行识别与隔离。在Matlab上的仿真结果表明,迭代次数越多时误测率越低。

参考文献

[1]何娣.太阳能光伏并网发电系统的研究[D].西安:长安大学,2013:66-67.

[2]李嫒嫒.基于分簇的无线传感器网络拓扑控制算法研究[D].南京:南京理工大学,2013:144-145.

[3]黄芬,陈名松.水下无线传感器网络DBR路由协议研究[J].电视技术,2012(13):74-77.

[4]刘华博,崔建明,戴鸿君.基于多元分类的无线传感器网络恶意节点检测算法[J].传感技术学报,2011,24(5):771-777.

[5]周兴锋.基于信任度Ad Hoc网络入侵检测系统模型研究[D].南京:南京理工大学,2006.

[6]BOLLINO G.Malicious AODV:implementation and analysis of routing attacks in MANETs[C]//Proceedings of 2012 IEEE Conference on Trust,Security and Privacy in Computing and Communications.Liverpool:IEEE,2012:1181-1187.

[7]LIU Fang,CHENG Xiuzhen,CHEN Dechang.Insider attacker detection in wireless sensor networks[C]//Proceedings of 2007IEEE International Conference on Computer Communications.Anchorage:IEEE,2007:1937-1945.

[8]SUN B,OSBORNE L,YANG X,et al.Intrusion detection techniques in mobile Ad Hoc and wireless sensor networks[J].IEEE wireless communications,2007,14(5):56-63.

[9]GONG Xudong,XIONG Yan,LU Qiwei.A trusted Ad Hoc routing protocol based on fuzzy mathematics[J].Chinese journal of electronics,2013,22(1):155-159.

[10]BYKOVA M,OSTERMANN S,TJADEN B.Detecting network intrusions via a statistical analysis of network packet characteristics[C]//Proceedings of 2001 Southeastern Symposium On System Theory.Athens:IEEE,2001:309-314.

恶意节点识别 篇2

智能电网是通过数字化和信息化将电能的生产、输送、分配和使用等各个环节紧密联系在一起, 通过智能化的控制实现“经济高效、灵活互动、友好开放、清洁环保”的新一代电力系统, 其能有效节约能源, 转移高峰负荷, 降低成本提高可靠性。智能电网通常由智能电表、感知系统、通信系统、控制系统组成, 为了保证电网系统安全可靠地运行, 必须对这个庞大的系统提供安全保证。尤其是其中的智能电表和控制系统都在智能电网中执行双向通信, 这使得黑客有机会入侵系统, 可以通过滥用电能、恶意收集和分析用户的数据来实现对电网的破坏。

智能电表系统深入千家万户, 同时其本身通常又是资源非常有限的设备, 关于其轻重量的加密和认证方法在文献[4, 5]中都有讨论, 但关于智能电表系统恶意节点识别的研究尚少。本论文在文献[5]提出的物理层信道信息反映节点位置的基础上, 通过引入势函授对各节点的位置信任度进行综合, 从而实现智能电表系统的恶意节点识别, 该方法使得各智能电表的计算量和附加通信量极低, 大部分的计算量在控制中心完成, 特别适合智能电表系统的特点。

2 基于信道特征的恶意节点检测原理

如图1所示, 方形节点是由捕获电表cai生成的恶意电表cli, 明显地, 捕获电表cai和恶意电表cli在不同的位置, 等它们却只有一个身份 (ID) 号, 例如, 恶意电表cl1和cl3是捕获电表ca1生成, 若能知道它们在不同的位置但却有相同的ID号, 那么说明发生了一种称为赛贝 (Sybil) 的恶意节点攻击。

本论文在上述理论的基础上, 考虑 的不同值反映为cli和clj的位置接近程度, 引入势函数, 基于多个节点对一个节点的评价, 来得到更准确的判断。

3 势函数

式中 标准化因子

本文中定义 , 节点拓扑势计算公式可简化为:

为与节点有相同ID的节点个数。

4 基于势函数的信道特征的恶意节点检测

基于势函数的信道特征的恶意节点检测步骤如下:

第一步:将智能电表系统中的智能电表划分为待测组 (CG) 和见证组 (WG) , 分别表示为待测节点 和见证节点 , 智能电表系统中的智能电表周期性地扮演待测节点和见证节点;

第二步:见证节点向通信范围内的待测节点广播请求信息Rw, 待测节点按如下格式回复响应信息Rc:

其中pilot为抽取信道信息的导频, 通常设置为8-32比特, 根据系统需要设置。

5 仿真结果

6 结论

本文介绍了一种基于节点势函数的恶意节点识别新方法, 论文在物理层信道信息反映节点位置的基础上, 将由信道信息抽取的节点位置值通过势函数处理, 使得待测节点的势函数反映了与其ID相同的所有节点的位置信息, 实现了对各节点的位置信任度进行综合, 从而实现智能电表系统的恶意节点识别, 该方法识别度高, 而且各智能电表的计算量和附加通信量极低, 大部分的计算量在控制中心完成, 特别适合智能电表系统的特点。

摘要：智能电网中的终端设备——智能电表在智能电网中执行双向通信, 这使得黑客有机会入侵系统, 可以通过滥用电能、恶意收集和分析用户的数据来实现对电网的破坏。论文介绍了一种基于节点势函数的恶意电表识别新方法, 该方法利用物理层信道信息反映节点位置的特点, 将由信道信息抽取的节点位置值通过势函数计算, 使得节点的势函数反映了与其ID相同的所有节点的位置信息, 实现了对各节点的位置信任度进行综合, 从而实现智能电表系统的恶意节点识别, 该方法 在各智能电表的计算量和附加通信量极低, 大部分的计算量在控制中心完成, 特别适合智能电表系统资源受限的特点。

关键词：智能电表,恶意节点,势函数

参考文献

[1]Cohen, F.:‘The smarter grid’, IEEE Security & Privacy, 8, (1) , 2010.

[2]曹军威等, 智能电网信息系统体系结构研究[J].计算机学报, 2009.

[3]Li, F., Qiao, W., Sun, H., Wan, H., Wan g, J., Xia, Y., Xu, Z., and Zhang, P.:‘Smart transmission grid:vision and framework’, IEEE Trans.on Smart Grid, 1, (2) , 2010.

[4]M o, Y., K i m, T.H.J., B r a n c i k, K., Dickinson, D., Lee, H., Perrig, A., and Sinopoli, B.:“Cyber physical security of a smart grid infrastructure, ”Proc.of the IEEE, 100, (1) , 2012.

[5]H.Wen, Yifan Wang, Xiping Zhu, Jianqiang Li, Liang Zhou, “Physical Layer Assist Authentication Technique for Smart Meter System”, IEE Comm., 2013.

[6]M.Demirbas, Y.Song, An RSSI-based Scheme for Sybil Attack Detection in Wireless Sensor Networks.in Proceedings of WoWMoM, 2006.

[7]Yu, P.L., Baras, J.S., and Sadler, B.M.:‘Physical-layer authentication’, IEEE Trans.on Information Forensics and Security, 3, (1) , 2008.

恶意节点识别 篇3

对等网络Peer-to-Peer(P2P) 中各个节点地位平等,同时扮演资源提供者和资源请求者的角色,消除了传统C/S 模式下服务器的单点失效和可扩展性差等问题。P2P网络是一种分布式网络,网络节点之间共享他们所拥有的部分资源,这些资源能够被其他对等节点直接访问。

P2P网络具有开放性、共享性、匿名性等特性,用户可以方便灵活地参与到共享网络中,使用网络中的资源和服务,并发布信息,而且节点的进入和退出往往不受任何限制,这些特性使其在文件共享、分布式计算以及实时通信等领域得到广泛应用,但与此同时也给网络安全方面带来许多问题,如:恶意节点提供虚假信息,影响节点可信度,或自私节点只使用资源,不提供共享资源等问题,这些恶意行为降低了对等网络的可靠性和可用性。为了抑制恶意节点各种攻击行为,提高P2P网络可用性,需要提供有效的信任管理机制。目前存在许多信任模型,在各种信任模型中针对不同的恶意节点都有一定的抑制作用,本文首先介绍了P2P网络中信任模型分类以及获取资源的过程,其次针对各种恶意节点,总结了抑制恶意节点的主要方法,最后对未来工作提出展望。

1 P2P网络信任模型的相关概念

信任是一个复杂的概念,国内外许多学者从不同领域对信任进行研究,本文使用美国学者McKnight & Chervany所提出的“决策信任”定义[1],信任是在一个有相对安全的感觉,但有可能出现负面后果的情况下,一方愿意依赖某事或某人的程度。信任反映了一个用户对另一个用户行为以及能力的综合评价,P2P网络中信任问题主要通过建立可靠的信任模型来解决。

1.1 信任模型分类

借鉴社会网络中的信任关系,构建信任模型可以有效地抑制P2P网络中的恶意节点。本文就如何精确描述节点可信度这一问题,分别从不同的方面提出了多种不同的信任模型。

(1)根据是否有第三方参与,可分为基于凭证的信任管理和基于声望的信任管理。基于凭证的信任管理采用精确的、静态的方式描述处理信任,将信任理解为授权关系;而基于声望的信任管理采用一种相对的方法对安全信息进行度量和评估,通过不断地证据收集和信任更新,能够较好地反映开放环境下的动态性,更符合对等网络的发展。基于声望的信任管理主要有集中和分布两种形式。集中式信任系统存在少数中心节点负责监督系统的交易,收集和分发交易的评价。分布式信任系统是所有的参与者都参与评价,通过查询参与节点的评价和相应先验数据,依据算法计算的信誉值来评价节点的可信性。

(2)根据信任算法可分为:EigenTrust信任模型、Bayesian网络信任模型、NICE以及REGRET等信任模型。EigenTrust算法信任模型的核心思想是,当节点i需要了解任意节点k的全局可信度时,首先从与k发生过交易的节点j处获知节点k的可信度,然后根据交易伙伴j自身的局部可信度,综合得出k的全局可信度。而Bayesian网络信任模型中,用户可以通过统计的方法从不同的节点得到可能需要的关系,它的理论基础是Bayes规则。NICE信任模型主要是通过判断P2P系统中节点的好坏,节点交互之后就会给对方创建一个Cookie,Cookie分为正负两种类型,节点通过判断P2P系统其他节点Cookie的正负值,就可以分辨节点的善恶性。REGRET信任模型主要是将P2P系统中各个节点加入到不同的组,并且由组与组之间的关系来决定该组的相对信任度,组之间的信任度是由组里各个节点与之交互后得到的总体评价。

(3)根据收集信任信息的范围,可分为局部信任模型和全局信任模型。在局部信任模型中,节点通过询问有限的其他节点获取他们对某个节点的推荐度,再综合自己的和该节点交互的历史经验,确定节点的信任度。全局信任模型通过邻居参与者间相互满意度的迭代计算得到代表系统的全局视图的节点信任度,系统中每一个节点在某一时刻都有一个唯一的全局信任度,不随评价主体及反馈节点集的不同而不同,全局信任度取决于与之发生交易行为的其他节点对它的局部看法以及这些节点的全局信任度。

1.2 P2P网络获取资源的过程

P2P网络是一个开放的、动态的网络,节点可以动态加入和退出,也可以自主决定在网络中的行为,这些特性使节点间的信任关系和人际网络中的信任关系十分相似,可以采用人际网络关系中的信任来建立P2P网络的信任模型。为了保障P2P网络有效的工作,每个节点需要选择高可信的节点为其提供服务,具体选择可信节点的过程如图1所示。

主机host1首先向P2P网络发送所需资源的请求,此请求以广泛方式发送,而后会得到能够提供该资源的节点集合,通过各种信任模型计算这个节点集合中各个节点的信任度,从中选择信任度最高的节点host2为主机host1提供服务,这可提高P2P网络的可靠性和可用性。

2 信任模型中恶意节点的攻击

在信任模型中,能否正确地、准确地计算某个节点的信任度,主要取决于其他节点评价信息的可信度,P2P网络中往往存在一些恶意节点,为了达到某种目的而提供虚假的评价信息,影响着信任度的准确性。因此能够识别并抑制各种恶意节点,对信任模型来说是非常重要的。

2.1 恶意节点分类

根据恶意节点的行为将其分为以下几类。

(1)欺骗性恶意节点:

包括内容欺骗和信任度欺骗。内容欺骗主要是在交易过程中,以欺骗对方为目的,或者在文件共享网络中提供假冒的文件下载服务,这类节点是信任模型中首先要识别的目标。信任度欺骗是指恶意节点在与正常节点交易或请求下载服务时,提供不正确的评价信息,影响节点可信度。

(2)合谋性恶意节点:

多个恶意节点之间相互串通,相互给予的某节点很高或很低的反馈和评价,以此来抬高或贬低该节点的可信度,由于P2P网络中不限制节点的加入和退出,攻击者可以建立大量的影子节点来协同欺骗。

(3)策略性恶意节点:

主要包括潜伏性的恶意节点和重入性的恶意节点。潜伏性的恶意节点进行恶意攻击时可以有一定的潜伏期,或是间歇性地提供假消息和服务,这种行为比单纯的欺骗更具有隐藏性。重入性的恶意节点在攻击者实施恶意行为导致节点信任度降低时,攻击者以一个新节点的身份再进入。

(4)Free Riding恶意节点:

只使用网络资源而自己并不想提供资源,不会给网络带来很大破坏,但是大量Free Riding节点的存在影响资源的平衡,降低网络整体性能。

2.2 抑制恶意节点主要方法

恶意节点的存在会影响P2P网络性能,需要有效地抑制各类恶意节点,本文从基于声望的信任模型出发,针对抑制恶意节点这一问题,列举几种典型方法。

(1)基于相似函数的方法

在P2P网络中,多数正常节点对某一节点的评价是相似的,根据这一现象可以采用相似函数,抑制不诚实的反馈;另外,对于同一团体的节点也具有一定相似性,为此也可将相似函数运用于共谋团体的识别问题。

Xiong Li等人提出的PeerTrust模型[2]采用个人相似度的信任信息聚合方法,有效地抑制了不诚实反馈方面的问题,对于欺骗性节点起到一定的抑制作用。胡建理等人提出一种基于反馈可信度的分布式P2P全局信任模型[3],节点在提供反馈时,除了考虑反馈节点本身的全局信任度以外,还考虑该节点的反馈可信度,充分考虑节点间的交互频繁程度与节点间的评分行为的相似程度,能够较好地识别出恶意节点的不诚实反馈及合谋行为。苗光胜等人的CCD模型利用相似函数识别共谋团体[4],有效抑制了合谋性的恶意节点。Rui Zhu等人提出一种基于偏好推荐的可信服务选择方法[5],通过皮尔逊相关系数在一组相关用户中寻找与自己评价指标最相似、推荐信息最为可信的一组用户,再根据该组用户对服务的评价值加权计算出服务的可信度,有效抑制欺骗性、合谋性和策略性恶意节点的攻击行为。

(2)基于激励机制的方法

P2P网络的重要特征之一是节点能够积极参与,并给出正确评价。但在对Gnutella网络的研究发现,有70%的用户不共享任何资源,90%的用户不响应其他用户发送的请求,为了避免这种情况,有必要采取一定的激励机制,对能够正确提供资源的节点给予奖励,对恶意节点给予惩罚,这样对欺骗性和合谋性恶意节点起到一定的抑制作用。

田春岐等人提出的抗攻击信任模型中[6],引入了激励机制。胡建理等人提出的具有激励机制的信任模型[7],根据节点的信任度对拓扑进行调节,使相互合作的节点保持连接,将不合作的节点排斥到网络边缘,实现P2P拓扑演化对节点行为的约束与激励。另外在文献[2,8]中也分别引入了各种激励机制。

(3)基于时间因素的方法

时间因素对信任度的计算有着重要影响,不同的历史评价信息对信任更新过程所产生的影响是不同的,越近的历史评价信息所产生影响越大,为了准确计算信任度引入时间因素是十分必要的。另外,用户的评价也应该限制在一个合理范围内,一个用户不能在短时间内对同一个用户多次提交反馈,因此时间因素对合谋性的恶意节点有一定的抑制作用。

鲍宇在防止欺骗行为的P2P信任模型中[9],引入时间因素,有效抑制了潜伏性和合谋性的恶意节点。常俊胜等人的DyTrust信任模型中[10],把交易时间划分成若干个长度不等的时间段,利用时间因子,把节点在各个时问段内的局部信任值和推荐信任值进行加权平均,得到节点的全局信任度。汪克文等人在信任模型中引入时间衰减因子[11],能够较准确计算可信度。

(4)基于可信度加权的方法

为了更加真实反应节点可信度,可从不同方面对节点提供的评价值进行加权,例如:利用时间因素、用户偏好或者相似度进行加权等。

李景涛等人基于利用节点评分相似度加权的信任模型中[12],有效抑制了欺骗性和合谋性恶意节点的攻击。田春岐等人提出的信任模型中[13],也对信任度加权。另外由于评价有一定的主观性,同样的服务质量,当用户的偏好不同可能给出不同的评价,为此朱锐等人根据用户的偏好[5],对评价值进行加权计算服务的可信度,有效抑制欺骗性的恶意节点。

在各种信任模型中,分别利用上述各种方法,对不同恶意节点起到抑制作用,具体抑制情况如表1所示。不难看出,利用这些方法对信任度欺骗性、合谋性、潜伏性以及Free Riding等恶意节点起到很好的抑制,但重入性恶意节点却没有得到很好的抑制,为此需要引入其他的方法,例如使用用于主机地址(逻辑地址或者物理地址)进行识别,或者通过第三方进行有效的管理。

3 结束语

本文在基于声望的信任模型中,对恶意节点进行了分类,并根据对恶意节点的抑制作用,总结了主要的抑制方法。在今后的工作中,将继续总结其他类型的信任模型对恶意节点的抑制,从而给出各种信任模型中的优缺点,并设计更好的信任模型,使其能够抑制各种恶意节点,也能够较客观、较准确地给出一个节点的可信度。

摘要：随着P2P网络的迅速发展,它在各个领域被广泛应用,但由于P2P网络自身开放性、匿名性等特点,使网络中存在许多欺骗性、合谋性以及策略性的恶意节点,影响其有效性和可用性。目前存在许多信任模型都分别给出了抑制各种恶意节点的方法,文中从恶意节点出发,总结了典型信任模型中抑制恶意节点的主要方法。

恶意节点识别 篇4

关键词：恶意软件,网络安全,行为分析

1 恶意软件的定义

"恶意软件"用作一个集合名词，来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。网络用户在浏览一些恶意网站，或者从不安全的站点下载游戏或其它程序时，往往会连合恶意程序一并带入自己的电脑，而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现等现象时，用户才有可能发觉电脑已“中毒”。在恶意软件未被发现的这段时间，用户网上的所有敏感资料都有可能被盗走，比如银行帐户信息，信用卡密码等。

1.1 恶意软件攻击方式

现如今，恶意软件已成为一个严重的网络问题。正所谓，哪里有网络，哪里就有恶意软件。恶意软件的出现像挥之不去的阴魂，严重阻碍了网络社会的的正常发展。但是，既然它出现了，我们就应该采取更加积极主动的态度去应对。所谓知己知彼，百战不殆。以下我们先介绍下恶意软件的常见攻击方式。

1.1.1 常见恶意软件

木马、后门与间谍软件是发展速度最迅猛的恶意软件。这类恶意软件的最大用途是使攻击者能够越过传统的系统认证机制，在所有者不知情的情况下获得计算机系统的访问权限。通常这些恶意软件很难被检测到。因为他们在设计之初就掩盖了其在系统中的现形，并且执行了原程序的功能，用户或者系统管理员很难察觉。

1.1.2 混合攻击

混合攻击使用多种感染或是攻击方式。通常可以通过电子邮件、windows共享、网路客户端以及即时通讯和点对点文件共享传播。人们很多时候把混合攻击误认为蠕虫，因为它具有蠕虫的一些特征。由于混合攻击比单一恶意软件更加复杂，更难制造，因此变得更加难以应对，对用户而言也就更加危险。

1.1.3 利用新技术技巧

随着计算机的发展，出现了许多新型恶意软件。Fast-flux技术就是一个范例。Fast-flux技术是一种域名服务器切换机制，它结合了P2P网络，分布式命令和控制, 基于Web的负载均衡和代理重定向等技术手段来隐藏实施钓鱼攻击的站点.，隐藏网络钓鱼服务网址。Fast-flux技术帮助网络钓鱼网站保持更长的时间，吸引更多的受害者。例如，研究人员很难识别恶意Storm域名，因为开发者使用了Fast-flux技术来避免探测。

2 进程行为分析恶意软件

在了解了目前比较流行的各类恶意软件之后从系统内进程的角度，对进程的活动方式做出分析。进程活动主要体现在两种行为特征上：系统行为特征与网络行为特征。

2.1 系统行为分析方法

2.1.1 系统行为定义

在本文中，将系统行为定义为程序执行过程中产生的能够对系统造成影响的一系列操作序列。它包括直接影响与间接影响。绝大部分程序在运行过程中，有些对系统地影响不大，如读取自身内存的操作，这是所有的程序都必须进行的;而有些会对系统产生持久性地影响，比如改写某个文件，或是创建某个具有权限的用户。还有一类操作，他们本身并不会对直接地对系统造成影响，但可以通过与另外一些操作组合，完成特殊的功能。这些操作能够间接地对系统造成影响。本文所关注的是程序运行时对系统环境造成一定影响的操作序列，而不是程序本身的二进制代码。

2.2.2系统行为分析方法

基于异常的恶意代码检测活动利用被监控系统正常行为的信息作为检测系统中恶意代码攻击行为和异常活动的依据。在异常恶意代码检测活动中假定所有恶意代码攻击行为都是与正常行为不同的，这样，如果建立系统正常行为的轨迹，那么理论上是可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常数值与特征的选择是异常恶意代码检测的关键。本研究希望通过分析程序对系统造成的影响来判断程序的分类。而根据软件开发技术发展到今天的水平，极少有程序会绕过操作系统直接操作硬件，大部分的操作要依赖于API系统调用来完成。所以，通过分析程序的API系统调用，能够了解程序将会对操作系统及软件环境造成何种影响。

2.2 网络行为分析

2.2.1 网络行为定义

将网络行为定义为程序使用网络的统计特性。具体的说，网络行为就是程序在网络通信方面，采用数据量、数据包、时间3种属性全面地描述网络通信的特征。它是一个包含了多个统计值的向量。本研究希望通过统计特征，来确定网络特征属性的主要成分，反映不同类型的程序在网络使用方式上的差异。

2.2.2 网络行为分析方法

该技术的重要功能是监控通过网关的所有文件传输情况。通过对报文的分析，统计出各种应用层协议传输的文件信息。所以，系统的抓包后的协议分析中，所有与目标进程相关的网络包头都会被记录，而包的内容则忽略。通过将进程的所有网络包按照时间顺序捕获，并按通信对象分成若干个网络流，便能够得到程序对网络的使用方式。

在本方法中，首次提出了按照通信对象分组，各组分别分析，最后再归整为一个特征向量的网络行为提取方法。首先，所有与目标进程相关的网络流量包头信息都被记录下来，将各个包按照其通信对象的不同，分为不同的组。然后，将这些分类的统计信息进行整合，计算出研究需要的各个统计特征值，并形成一个特征向量。这个特征向量能够反映进程在网络使用方面时间、流量、通信方式上的诸多差别。

本文从现有技术的诸多不足入手，以识别恶意软件特别是未知恶意软件的研究为目的，从技术层面上研究了基于进程行为的识别技术。本研究从理论上对于从根本上解决恶意软件的泛滥问题是一个有益的探索。为了能够进一步的提高恶意软件的识别效率，在以后的研究中，还需在实践中做进一步的研究与改进。

参考文献

[1]李卫, 边江, 王盈.动态网络流分类研究[J].电子科技大学学报, 2007, 36 (6) .

[2]王鑫, 蒋华.网络环境下的计算机病毒及其防范技术[J].计算机与数字工程, 2008, (2) .

[3]皮兴进.计算机网络系统安全威胁及其防护策略的研究[J].才智, 2009, (17) .

[4]朱辉生.进程及应用程序间通信的实现技术[J].计算机应用与软件, 2004, 21 (1) .