面向交互型恶意代码的精确发现及处置系统

项目年度编号：1300311526

完成单位：国家计算机网络与信息安全管理中心 

省　　市：北京

公布年份：2011年

成果类别：应用技术

关 键 词：恶意代码 交互型 监测 应急处置系统 网络安全 

摘      要：近年来，互联网上的木马、僵尸网络等恶意代码呈现快速增长的势头，常被国外敌对势力、地下黑客组织用于窃取国家、企业秘密和个人敏感信息、发动拒绝服务攻击，对公民和企业的利益、隐私以至国家安全构成严重威胁。恶意代码中以交互型恶意代码危害最为严重，控制端通过网络对被控端（俗称肉鸡）交互联络，窃取敏感信息并操控用户主机。因此，提升对交互型恶意代码精确发现和处置能力对保卫我国国家安全和防范个人隐私泄漏十分重要。“面向交互型恶意代码的精确发现及处置系统提出了基于域名的未知恶意代码监测发现、恶意代码控制端远程验证，以及恶意代码传播的全景描绘等3项创新技术；由恶意代码监测系统、恶意代码控制端验证系统、关联分析系统以及恶意代码处置系统四部分组成，与安全中心已建设运行的国家互联网安全应急平台共同组成一套流程完整的对恶意代码控制端和被控端进行监测发现、验证确认、关联分析和应急处置的技术架构体系，目前已在全国31个省市部署，对全国31个国际出入口、186个省际出入口的交互型恶意代码流量和8省运营商的恶意域名数据进行精确发现和处置，有效支撑了公安、安全和军队等部门防范网络失窃密、保护个人隐私等相关工作，大幅提升了国家公共互联网安全保障能力。本项目研发过程中共获得1项发明专利授权（另有4项受理），软件著作权2项，发表学术论文12篇。本项目的主要创新点有：（一）利用僵尸网络中肉鸡的网络活动和域名访问具有相似性和相关性的特点，将网络流和域名查询中的类似行为进行分类和关联分析，首次提出一种聚类联动的监测模型，解决了现有系统难以发现未知僵尸网络的问题。研发成果已受理专利2项，获得软件著作权1项，并发表了多篇学术论文。 （二）本项目首次提出了利用恶意代码交互特征、通过分布式主动探测方式对恶意代码控制端的精确验证技术，实现了对互联网上交互型恶意代码控制端高效、精准的检测和发现能力，填补了国内外恶意代码控制端发现验证技术的一项空白。中国信息安全测评中心的测试结果表明，本系统实现了对最常见的62类交互型恶意代码控制端的精确、高速检测，实现了对这些恶意代码控制端和被控端的查杀。在局域网环境下，对普通计算机进行全端口（65535个）探测时间不超过10分钟。研发成果已受理专利1项，获得软件著作权1项。（三）首次提出了多元网络安全监测数据联动分析的思路，在时间维度上刻画了恶意代码家族的繁盛、消亡的动态过程；在空间维度上刻画了恶意代码传播、扩散的动态过程；在恶意代码样本维度上刻画了恶意代码群之间的演变、迁徙的动态过程。通过以上工作，首次在国家级层面完整描述了交互式恶意代码的变化情况。研发成果已获专利授权1项，已受理专利1项，并在《软件学报》等发表论文2篇。本项目自2006年12月投入使用以来，已累计监测发现验证上1万余个大规模交互型恶意代码网络，组织多次交互型恶意代码专项处置行动，清理大规模交互型恶意代码控制端，营造了良好的网络环境；及时发现了多起政府部门计算机感染窃密木马事件，协助相关单位完成了多次国家和国际重大活动的网络安全保障任务，保障了我国政府和重要信息系统的安全。综上，本项目作为国家网络安全管理的基础支撑，有力提升了我国互联网安全事件的处置能力和水平。