恶意代码攻击流程和应急响应流程

（一）恶意代码段攻击流程

恶意代码段攻击流程包括软交换平台的搭建和测试、蠕虫挂马的准备、攻击策略的制订、恶意代码破坏的实施、恶意代码攻击反馈五个阶段。其中，对软交换平台用于测试设计的恶意代码的破坏效果；蠕虫挂马是为攻击的成功做好充分的前提准备；根据从受害SIP服务器收集到的系统信息进行分析，动态制订相应的攻击策略；根据选取策略，下达不同的恶意代码对通信网络进行破坏；为了确认恶意代码对通信网络的破坏，需要通过隐蔽通信的途径将攻击的结果反馈给攻击控制中心。恶意代码攻击流程如图3-22所示。

图3-22　恶意代码攻击流程

（二）应急响应流程(www.xing528.com)

应急响应流程主要包括对可疑程序的监控、恶意代码静态检测、恶意代码动态检测、恶意代码破坏评估、恶意代码免疫五个阶段。其中，对可疑程序的监控不仅包括对动态的API调用的检测，还包括对网络流量的异常检测；如果出现可疑的程序，初步对可疑程序的API调用序列进行自相似性匹配，并进一步采用基于模糊识别和支持向量机的联合Rootkit动态检测方法进行精确识别；对可疑的恶意代码的静态文本基于空间关系特征进行检查，从静态的角度来判别恶意代码的可能性；对于确认是恶意代码的可疑程序，对其进行恶意程序的破坏效果评估，从而判别恶意程序给系统带来的影响；启动恶意代码免疫程序，通过免疫程序，在今后的系统运行中，对该恶意代码进行免疫响应，从而保障系统不再遭受该恶意代码及其变种所带来的影响。应急响应流程如图3-23所示。

图3-23　应急响应流程