本文以Windows操作系统为测试和应用平台,针对日益严重的恶意代码的问题,对恶意代码的机理和防范进行了研究,取得了以下六个方面的研究成果: (1) 提出了恶意代码的攻击模型,分析了目前恶意代码实现的关键技术,最后设计并实现了一个漏洞植入型的恶意代码,并从通用性、隐蔽性和对植入系统的性能影响三个方面对该恶意代码进行了测试和评估。测试结果表明该恶意代码具有较强的生存能力。通过对恶意代码机理研究和实践,为恶意代码防范技术研究和网络安全策略研究提供理论基础和指导依据。 (2) 提出了恶意代码的动静态分析方法,对恶意代码的隐蔽技术进行了归纳和概括,提出了一种通过模糊变换来提高恶意代码生存能力的策略,并对模糊变换策略进行了形式化描述和分析,建立了模糊变换引擎的框架结构。测试结果表明,经过模糊变换的恶意代码能够逃避大部分基于误用检测的恶意代码对抗工具。 (3) 针对恶意代码的本质特点,提出了恶意代码防范的整体框架。该框架综合误用检测、异常检测及权限控制等多种技术,并从基于主机和基于网络两个角度实施恶意代码的防范技术。 (4) 从系统入侵防范的角度,提出一种基于实时监测Win32函数调用检测和防御恶意代码攻击的方法,该方法通过对部分恶意代码攻击行为模式的分析,建立了恶意代码防御的原型系统,最后以“冲击波杀手”蠕虫为例对该系统进行了实例评估,测试数据表明该系统能够及时地发现恶意代码攻击并阻止恶意代码的进一步扩散,是一种有效地防御恶意代码攻击的新方法。 (5) 从系统入侵防范的角度,提出一种基于网状关联分析预警恶意代码的方法。通过对恶意代码行为模式的分析,对恶意代码防范机制作了新的探索,设计了预警算法,建立了大规模恶意代码预警模型和基于预警算法的原型系统,最后给出相关实验数据和分析结果。与现有的恶意代码检测方法相比校,此方法更加有效,而且能够预警未知的恶意代码。 (6) 给出了网络蠕虫的基本定义和功能结构,从另一角度提出了合理应用网络蠕虫的思想,设计了良性蠕虫系统的框架结构、实现策略及蠕虫个体的工作算法,通过对良性蠕虫的优势分析,指出良性蠕虫可以应用到蠕虫对抗、网