（2）行为法

利用病毒的特有行为特征来监测病毒的方法，称为行为监测法.通过对病毒多年的观察、研究，有一些行为是恶意代码的共同行为，而且比较特殊.当程序运行时，监视其行为，如果发现了病毒行为，立即报警.缺点是误报率比较高、不能识别病毒名称及类型、实现时有一定难度。

（3）完整性控制

计算保留特征码，在遇到可以操作时进行比较，根据比较结果作出判断。

（4）权限控制

通过权限控制来防御恶意代码的技术比较典型的有：沙箱技术和安全操作系统。

（5）虚拟机检测

虚拟机检测是一种新的恶意代码检测手段，主要针对使用代码变形技术的恶意代码，现在己经在商用反恶意软件上得到了广泛的应用。

2.2.2基于网络的恶意代码检测

采用数据挖掘和异常检测技术对海量数据进行求精和关联分析以检测恶意代码是否具有恶意行为。

（1）异常检测

通过异常检查可发现网络内主机可能感染恶意代码以及感染恶意代码的严重程序，然后

采取控制措施。

（2）误用检测

也称基于特征的检测基于特征的检测首先要建立特征规则库，对一个数据包或数据流里德数据进行分析，然后与验证特征库中的特征码来校验。

2.2.3现有检测方法分析与评价

到目前为止，没有一个完全的检测方案能够检测所有的恶意代码，可以肯定的是无论从理论还是实践来说，应用系统级恶意代码的检测相对容易，内核级的就要复杂和困难的多。杀毒软件仍然是必要的最快的检测方法，因为木马的运行需要网络的支持，所以在检测时需要本地系统与网络状态同对进行检测。目前，多数的检测工具都是在应用层上工作的，对于检测工作在内核级的恶意代码显得力不从心。

2.3分析与检测常用工具

（1）Tcp View

网络活动状态监视工具是运行于微软Windows系统下的一款小巧的TCP UDP、状态观察工具。

（2）Olly Dbg

动态调试工具是一款用户级调试器，具有优秀的图形界面，和内核级调试器。

（3）IDA Pro

反汇编工具是一个非常好的反汇编工具，可以更好的反汇编和进行深层次的分析。

（4）InstallSpy

系统监视工具能够监视在计算机操作系统上安装或运行其他程序时对本机操作系统的文件系统、注册表的影响。

3.实现系统方面（以蜜罐系统为例）

3.2利用客户端蜜罐技术对恶意网页进行检测

3.2.1客户端蜜罐与服务端蜜罐

传统的蜜罐技术是基于服务器形式的，不能检测客户端攻击.例如低交互蜜罐Honeyd或高交互的蜜网，担当的是一种服务，故意暴漏出一些服务的弱点并被动的等待被攻击。然而，检测客户端攻击，系统需要积极地域服务器交互或处理恶意数据。因此就需要一种新型的蜜罐系统：客户端蜜罐.客户端蜜罐的思想是由蜜罐创始人Lance Spitzner于2004年6月提出的.客户端蜜罐在网络中和众多服务器交互，根据其而已行为的特性将它们分类。

客户端蜜罐和传统蜜罐的不同之处主要由以下几点：

（1）客户端蜜罐是模拟客户端软件并不是建立有漏洞的服务以等待被攻击。

（2）它并不能引诱攻击，相反它是主动与远程服务器交互，主动让对方攻击自己。

（3）传统蜜罐将所有的出入数据流量都视为是恶意有危险的.而客户端蜜罐则要视其服务是恶性或良性与否来判断。

和传统蜜罐类似，客户端蜜罐也分为两种类型：低交互和高交互客户端蜜罐。低交互客户端蜜罐主要是用模拟一个客户端的应用程序和服务端程序交互，然后根据已建立的“恶意”行为库将服务端程序进行分类.通常是通过静态的分析和签名匹配来实现的。低交互的客户端蜜罐有点在于检测速度非常快，单毕竟它不是一个真正的客户端，从而有程序方面的局限性，所以容易产生误报和漏报.低交互的客户端蜜罐也不能模拟客户端程序的所有漏洞和弱点。另一种高交互的客户端蜜罐则采用了不同的方法来对恶意的行为进行分类，它使用真是操作系统，在上面运行真是的未打补丁或有漏洞的客户端应用程序和有潜在威胁的服务程序进行交互。每次交互以后，检测操作系统是有有未授权的状态修改，如果检测到有状态的修改，则此服务器被认定为有恶意行为.因为不使用签名匹配的方法，高交互的客户端蜜罐可以用来检测位置类型的攻击。

3.2.2低交互客户端蜜罐检测

低交互客户端蜜罐使用迷你的客户端代替真实系统和服务器交互，随后采用基于静态分析的方法来分析服务器响应结构（如签名匹配、启发式方法等），这些方法可以增强蜜罐的检测性能，能检测出高交互客户端蜜罐通常检测不到恶意响应，如时间炸弹。由于低交互客户端蜜罐采用模拟客户端和静态分析，很有可能会错过一些位置类型的攻击。

低交互客户端蜜罐一般有三个任务要完成：“发送请走给服务器，接受和处理响应。其中客户端蜜罐需要建立一个队列存放访问服务器的诸多请求，访问工具再从此队列中取出请求执行去访问不同的服务器。可以采用一些算法构建服务器请求队列，如网络爬虫爬取的定的页面从中搜集连接。服务器返回结果后，蜜罐需要对系统或服务器的响应信息进行分析，比对是否有违反系统安全策略的响应。

3.2.3高交互客户端蜜罐检测

高交互客户端蜜罐系统从多方面监控系统：