网络安全高级编程技术zw14

网络安全高级软件编程技术第14章 基于特征码的恶意代码检测系统的设计与实现14.1编程训练目的与要求14.2相关背景知识14.2.1恶意代码的定义与分类1. 恶意代码的定义2. 恶意代码的分类14.2.2可执行文件结构介绍1. ELF文件图14-1ELF文件格式结构示意图2. PE文件图14-2PE文件格式14.2.3恶意代码检测技术与发展趋势1. 恶意代码检测部署方式2. 恶意代码检测技术功能分类图14-3恶意代码检测技术的技术组件与分析组件结构示意图3. 恶意代码检查数据类型分析4. 现有检测技术的缺陷及未来发展趋势14.2.4开源恶意代码检测系统Clam AntiVirus1. 简介2. Clam AntiVirus的特征码格式3. BM特征码匹配算法图14-4BM算法匹配示意图4. AC特征码匹配算法图14-5AC算法模式树图14-6模式树构造14.3实例编程练习14.3.1编程练习要求14.3.2编程训练设计与分析图14-7ClamScan恶意代码检测流程图1. 相关数据结构2. 病毒库导入3. AC特征码匹配算法初始化4. AC特征码匹配算法匹配查找5. A-C算法的扫描匹配函数6. B-M算法的扫描匹配函数14.4扩展与提高14.4.1使用Clam AntiVirus扫描邮件14.4.2基于可信计算技术的恶意代码主动防御技术1. 当前信息安全系统存在的问题2. 可信计算技术图14-8可信计算平台通用结构图14-9TPM的内部结构参考文献1R.L.Rivest，A.Shamir，L.Adleman. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM 21 (2)，19782Christian Kreibich，Jon Crowcroft. Honeycomb: creating intrusion detection signatures using honeypots. ACM SIGCOMM Computer Communication Review，20043Lance Spitzner. Honeypots: Catching the insider threat. Computer Security Applications Conference，2003， Proceedings. 19th Annual4David Moore，Colleen Shannon，Douglas J. Brown，etc. Inferring Internet denial-of-service activity. ACM Transactions on Computer Systems (TOCS)，20065Treshansky Allyn，McGraw Robert. An overview of clustering algorithms. Proceedings of SPIE-The International Society for Optical Engineering C，20016Lee Garber. Denial-of-service attacks rip the Internet. Computer，20007James F. Kurose，Keith W. Ross. Computer Networking: A Top-Down Approach Featuring the Internet (3rd Edition). Addison Wesley，2005 8W.Richard Stevens. TCP/IP Illustrated Volume 1: The Protocols. Addison Wesley，1996 9Klaus Wehrle，etc. The Linux Networking Architecture: Design and Implementation of Network Protocols in the Linux Kernel. Prentice Hall，200410Christian Benvenuti. Understanding Linux Network Internals. Oreilly Media Inc，200511Thomas H.Cormen，Charles E.Leiserson，Ronald L.Rivest，Clifford Stein. Introduction to Algorithms (2nd Edition). MIT Press，200112Alfred J.Menzes，Paul C. van Oorschot，Scott A.Vanstone. Handbook of Applied Cryptography. CRC Press，199613Atul Kahate. Cryptography And Network Security (2nd Edition). McGraw-Hill，200814Charlie Kaufman，Radia Perlman，Mike Speciner. Network Security: Private Communication in a PUBLIC World. Prentice-Hall，200215Lance Spitzner. Honeypots: tracking hackers. Addison-Wesley Professional，200316Gary Halleen，Greg Kellogg. Security Monitoring with Cisco Security MARS. Cisco Press，200717Eric S.Raymond. The Art of UNIX Programming. Addison-Wesley，200518Data Encryption Standard. http:/en.wikipedia.org/wiki/Data_Encryption_Standard19Public-key cryptography. http:/en.wikipedia.org/wiki/Public-key_cryptography20tcpdump/libpcap. http:/www.tcpdump.org/21ebtables. 22netfilter. filter.org/23OpenSSL. http:/www.openssl.org/24Nmap. http:/nmap.org/25Snort. http:/www.snort.org/26Denial-of-service attack. http:/en.wikipedia.org/wiki/Denial-of-service_attack27Sebek: the honeypot project. http:/www.honeynet.org/project/sebek/28Boyer-Moore string search algorithm. http:/en.wikipedia.org/wiki/Boyer%E2%80%93Moore_string_search_algorithm29Linux netfilter Hacking HOWTO. filter.org/documentation/HOWTO/netfilter-hacking-HOWTO.html30Oskar Andreasson. Iptables Tutorial 1.2.2.http:/iptables-31Beejs Guide to Network Programming Using Internet Sockets. http:/beej.us/guide/bgnet/32Packet Capture With libpcap and other Low Level Network Tricks.http:/profile.iiita.ac.in/sgarg_02/packet/section1.html33Miguel Rio etc. A Map of the Networking Code in Linux Kernel 2.4.20.http:/www.labunix.uqam.ca/jpmf/papers/tr-datatag-2004-1.pdf34Alisa Shevchenko.The evolution of selfdefense technologies in malware. Virus analyst, Kaspersky Lab，2007. http: /35张绍兰，邢国波，杨义先. 对MD5的改进及其安全性分析. 计算机应用，2009年04期36郑光明，胡博. 基于MD5的文件完整性检测软件设计. 湖南理工学院学报，2007年01期37蒋建春，马恒太. 网络安全入侵检测: 研究综述. 软件学报，2000年38杨善林，李永森，胡笑旋，潘若愚. K-Means算法中的K值优化问题研究. 系统工程理论与实践，2006年02期39李军丽.特洛伊木马病毒的隐藏技术.网络安全技术与应用，2008年01期40康治平,向宏.特洛伊木马隐藏技术研究及实践.计算机工程与应用，2006年09期41张新宇,卿斯汉 等.特洛伊木马隐藏技术研究.通信学报，2004年07期42张健.恶意代码危害性评估标准和检测技术的研究. 博士学位论文. 天津: 南开大学，200943Schneier Bruce著. 吴世忠 译. 应用密码学: 协议、算法与 C 源程序. 北京: 机械工业出版社，200044William Stallings著. 孟庆树 等译. 密码编码学与网络安全: 原理与实践（第4版）. 北京: 电子工业出版社，200645Brian W.Kernighan，Dennis M.Ritchie著. 徐宝文 等译. C程序设计语言（第2版）. 北京: 机械工业出版社，200646Daniel P. Bovet，Marco Cesati著. 陈莉君，张琼声，张宏伟 译. 深入理解Linux内核. 北京: 中国电力出版社，2007 47Michael Beck等著. 张瑜，杨继萍 译. Linux内核编程指南（第3版）. 北京: 清华大学出版社，2004 48Neil Matthew，Richard Stones著. 陈健，宋健建 译. Linux程序设计（第3版）. 北京: 人民邮电出版社，200749Michael K.Johnson，Erik W.Troan著. 武延军，郭松柳 译. Linux应用程序开发（第2版）. 北京: 电子工业出版社，200550Jonathan Corbet等著，魏永明 等译，Linux设备驱动程序（第3版）. 北京: 中国电力出版社，2006 51W. Richard Stevens，Stephen A.Rago著. 尤晋元，张亚英，戚正伟 译. UNIX环境高级编程（第2版）. 北京: 人民邮电出版社，2006 52W.Richard Stevens等著. 杨继张 译. UNIX网络编程. 北京: 清华大学出版社，2006 53Michael Rash著. 陈健 译. Linux防火墙. 北京: 人民邮电出版社，200954Steve Suehring，Robert L.Ziegler著. 何泾沙 等译，Linux防火墙（原书第3版）. 北京: 机械工业出版社，2006 55Stuart McClure，Joel Scambray，George Kurtz著. 王吉军，张玉亭，周维续 译. 黑客大曝光网络安全机密与解决方案（第5版）. 北京: 清华大学出版社，200656Susan Young，Dave Aitel著. 吴世忠，郭涛，李斌，宋晓龙 等译. 黑客防范手册. 北京: 机械工业出版社，200657James Stanger Patrick T. Lane著. 钟日红，宋建才 等译. Linux黑客防范: 开放源代码安全指南. 北京: 机械工业出版社，200258Yusuf Bhaiji 著. 罗进文，王喆，张媛，饶俊 译. 网络安全技术与解决方案. 北京: 人民邮电出版社，200959Brian Caswell，Jay Beale，James C.Foster，Jeffrey Posluns著. 宋劲松 译. Snort 2.0入侵检测. 北京: 国防工业出版社，200460Jiawei Han，Micheline Kamber著. 范明，孟小峰 译. 数据挖掘: 概念与技术. 北京: 机械工业出版社，200761Andrew S.Tanenbaum著. 陈向群，马洪兵 译. 现代操作系统（第2版）. 北京: 机械工业出版社，2005 62杨义先，钮心忻. 应用密码学. 北京: 北京邮电大学出版社，200563王衍波，薛通. 应用密码学. 北京: 机械工业出版社，200364卿斯汉.密码学与计算机网络安全.北京: 清华大学出版社，200165卢开澄.计算机密码学: 计算机网络中的数据保密安全（第3版）.北京: 清华大学出版社，200366王石.局域网安全与攻防-基于Sniffer Pro实现.北京: 电子工业出版社，2006 67李善平等. Linux内核2.4版源代码分析大全.北京: 机械工业出版社，200268林宇，郭凌云. Linux网络编程.北京: 人民邮电出版社，200169张斌. Linux网络编程.北京: 清华大学出版社，200070杜华. Linux编程技术详解.北京: 机械工业出版社，200771张炯. UNIX网络编程: 实用技术与实例分析.北京: 清华大学出版社，2002 72倪继利.Linux安全体系分析与编程.北京: 电子工业出版社，200773赵炯. Linux内核完全注释.北京: 机械工业出版社，2004 74毛德操，胡希明. Linux内核源代码情景分析（上册）.浙江: 浙江大学出版社，2001 75恒逸资讯，陈勇勋.更安全的Linux网络.北京: 电子工业出版社，2009 76刘文涛. 网络安全开发包详解.北京: 电子工业出版社，2005 77许治坤，王伟， 郭添森，杨冀龙.网络渗透技术.北京: 电子工业出版社，200578曹元大，薛静峰，祝烈煌，阎慧.入侵检测技术.北京: 人民邮电出版社，200779阎慧，王伟，宁宇鹏.防火墙原理与技术.北京: 机械工业出版社，2004 80张建忠，徐敬东. 计算机网络实验指导书. 北京: 清华大学出版社，200581吴功宜. 计算机网络高级教程. 北京: 清华大学出版社，200782吴功宜等. 计算机网络高级软件编程技术. 北京: 清华大学出版社，200883VC知识库. 84中国OpenSSL专业论坛. 85黄一文.Linux路由表的结构与算法分析.86杨沙洲.Linux Netfilter实现机制和扩展技术.87Linux高级路由和流量控制HOWTO中文版. http:/lartc.org/LARTC-zh_CN.GB2312.pdf88加固Linux内核. 89张健.2007年中国计算机病毒疫情调查技术分析报告, 国家计算机病毒应急处理中心，200790Robert S.Boyer, J Strother Moore.A Fast String Searching Algorithm.http:/www.cs.utexas.edu/users/moore/publications/fstrpos.pdf91精确字符串匹配的 Boyer-Moore（BM） 算法.92Pekka Kilpel inen.Boyer-Moore Matching. Biosequence Algorithms, Spring 200593Pekka Kilpel inen.Set Matching and Aho-Corasick Algorithm. Biosequence Algorithms, Spring 200594AC多模匹配算法小结.95P3Scan.96RFC1321. The MD5 Message-Digest Algorithm. http:/www.ietf.org/rfc/rfc1321.txt97RFC4732. Internet Denial-of-Service Considerations. http:/tools.ietf.org/html/rfc473298Microsoft Corporation.Microsoft Portable Executable and Common Object File Format Specification,Microsoft Corporation,Revision 8.0.99Clam AntiVirus User Manual.