恶意代码检测技术——签名、启发式、行为式

随着恶意代码成为信息安全的重要威胁，恶意代码检测技术成为信息安全领域的重要研究方向。目前已经有基于签名、启发式、行为式等几种检测恶意代码的方法，应用最广泛也是最成熟的当属基于签名的检测技术，当前研究的热点是能够检测未知恶意代码的基于数据挖掘和机器学习检测技术。下面分别对几种检测方法进行介绍。

1.1. 基于签名的检测技术

基于签名的检测技术主要基于模式匹配的思想，为每种已知恶意代码产生一个唯一的签名特征标记来创建恶意代码库。这些签名包括很多不同的属性，如文件名、内容字符串或字节等，并且也从排除这些恶意代码所产生安全漏洞的角度来探讨保护系统安全。将未知代码的签名特征与恶意代码库进行对比，搜索恶意代码库查找时候存在相匹配的恶意代码签名，若有吻合，则判定为恶意代码；反之则判断为正常代码。这些签名有专家手工找出或通过自动方法生成，一个签名呗提取出来以标志一个特定恶意代码的特征性质。基于签名方法的实现步骤如下：

l 采集已知恶意代码样本
l 在恶意代码样本中，抽取恶意代码签名（特征）。
l 将签名纳入恶意代码数据库。
l 检测文件。如果检测的文件中含有恶意代码库中的签名，就判断此文件是恶意代码或者已被恶意代码感染。

这种方法是最方便应用最广的检测方法，商业的杀毒产品都是采用这种技术。其优点是检测速度快，凡是病毒库中已有的恶意代码，全都能够准确检测出来，误报率较低。缺点是对于未出现过的病毒无能为力，面对不断出现的新病毒，必须不断更新版本，否则检测工具变回老去，逐渐失去实用价值，因此在将来某一种恶意代码的签名加入恶意代码签名库之前，计算机系统可能会遭到此类恶意代码的攻击。

1.2. 完整性验证

恶意代码感染、破坏其他目标的过程，也是破坏这些目标的完整性的过程。也是破坏这些目标完整性的过程。从另一方面说，保证了系统资源，特别是系统中重要资源的完整性不受破坏，就能够阻止恶意代码对系统资源的感染和破坏。校验和法是完整性控制技术队信息资源实现完整性保护的一种应用，系统在安装的时候会自动将硬盘中的所有文件资料做一次汇总并加入记录，将正常文件的内容计算校验和，将该校验和写入文件保存。定期的火灾文件使用前，检查文件现在内容计算出的校验和与原来保存的是否一致，因而可以发现是否感染。这种方法能够检测出已知和未知恶意代码，但由于恶意代码感染并非文件改变的唯一原因，软件版本升级、变更口令等正常程序也会引起文件更改，因而这种方法容易产生误报，影响文件的运行速度。

1.3. 权限控制法

恶意代码实现其恶意目的，必须首先具有足够的权限。如果控制恶意代码在被入侵系统中的权限，使宿主代码仅仅完成正常工作的最小权限，及时代码中含有恶意的操作请求，该请求也不会被允许。该方法能够有效抵御滥用权限的恶意代码，对于正常权限内就可以完成恶意目的的恶意代码没有办法进行检测。

1.4. 行为法

利用病毒的特有行为特征来检测病毒的方法，也称为行为检测法。通过对病毒的观察、研究，有一些行为是恶意代码的共同行为，而且比较特殊。这些行为比较特殊，在正常代码中比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。这种方法可相当准确的预报未知的多数病毒，但不能识别病毒名称，而且实现时也有一定的难度。