系统漏洞：由于操作系统本身有一些设计缺陷，导致被非法用户通过非法方式利用，执行恶意代码，恶意代码通过系统漏洞进入系统，达到感染目的。如Web DAV漏洞、Local Security Authority Subsystem Service漏洞、RPC-DCOM缓冲区溢出漏洞等是经常被利用的漏洞。

　　3 因果关联分析
　　3.1 因果关联分析法
　　因果联系即有因必有果，万事万物都是存在因果联系的。任何结果的产生都是由因导致的。因果联系中的事物是一种引起与被引起的关系。因果联系理论目前应用到很多领域，本文就是将因果联系理论应用到计算机恶意代码的分析检测中。
　　3.2 因果关联应用到恶意代码检测
　　关联特征过滤器的确定。将每个阶段恶意代码攻击的数据包特征进行正则描述，定义成关联特征过滤器集合T={t1，t2，t3，……，tn}。
　　M个n维的向量表集合的确定。每个向量分量为8的倍数的二进制码，每个向量对于一个IP地址，n维代表共记录了n种恶意攻击。每个内网IP地址对应一个哈希值，恶意代码对应向量表中的其中一维，向量表中的一个单元表示与该内网IP相关的数据包对恶意代码的过滤情况。状态向量集合表的某个位置被更新时，应该判断与状态向量表位置相对于的因果关联特征过滤器的某个位置是否相等，如果两个值相等，则表明此时更新的是最终的状态，如果两个值不相等，则表明此时更新的不是最终的状态。
　　数据包进入n维度的关联特征过滤器后进行匹配分析，如果匹配则进一步表名该恶意代码具有因果关联特征。
　　在因果关联分析中，需要用到一种结构，该结构记录了源IP地址，目的IP地址，恶意代码第一次生成时间，最近一次清理的时间，恶意代码编号，所处的攻击阶段等内容信息。需要定期清理可疑IP组，每次清理后将剩下的IP组中的结构更新，同时将状态向量表对应的二进制码归零。这样可以节省部分内存空间，减少恶意代码的误报率。
　　需要注意的是，只需要存在一个n维的状态向量表，就可以对应n个因果关联特征过滤器T1，T2，T3，……，Tn。
　　因果关联分析法的恶意代码检测流程是：在网络中读取需要检测的数据包，将数据包的来源IP与高度可疑的IP组相比较，如果发现该IP在高度可疑IP组中，则进入关联特征匹配，如果匹配结果为是，则进一步处理数据包。处理数据包主要是判断是否更新向量表，若内网地址的数据分组与关联特征过滤器中的成员特征成功匹配，那么内网地址对应的向量序号与对应的恶意代码进行哈希计算。匹配结果放置到向量表中的条件是，检测的数据包需要和一个关联特征相匹配。具体流程如图1所示。
　　4 结束语
　　为了保障联入网络中的企业和个人能够安全地进行各项日常工作和活动，计算机安全技术，特别是计算机网络安全技术正在飞速的发展。由于其互联网本身的开发特性，当今恶意代码流行的趋势是全球范围的，攻击速度越来越快，几乎为零日攻击，一般是几种网络攻击方式联合，对计算机网络用户造成了严重的安全威胁。针对恶意代码的攻击原理，联入网络中的企业、个人等组织应该提高对恶意代码等网络攻击的安全防范意识，网络管理员应该及时更新操作系统发布的最新安全漏洞补丁，修补操作系统安全漏洞，加强网络共享管理，强化密码设置，增强安全策略，加强密码强度。