基于内核对象的动态恶意代码检测
本文关键词: 内核对象 动态污点分析 公共行为图 恶意代码检测 出处:《哈尔滨工业大学》2014年硕士论文 论文类型:学位论文
【摘要】:随着互联网的发展,越来越多的恶意代码产生并攻击人们的计算机系统,影响了人们的正常生活。尽管现在已经存在一些恶意代码检测技术,但是随着恶意代码种类的增加以及传播速度的提升,这些技术的检测能力以及抗攻击力越来越不能满足人们的需求,因此需要提出具有更高效率以及检测效果的恶意代码检测技术。目前主要有动态以及静态恶意代码检测技术这两种类型的检测方法。然而静态恶意代码检测技术会受加壳、混淆等反分析技术影响,而动态的检测技术直接运行样本并捕获样本运行时的行为,不会受这些反分析技术的影响。内核对象是内核中的一个内存块,具体地说,其是一个数据结构,并且在其中保存着和对象相关的信息。而大多数恶意样本的主要恶意行为都是通过操控内核对象实现的,所以将内核对象引入恶意代码检测具有很大的意义。而现在的很多基于图的检测方法中使用的都是系统调用行为图,不仅会引入一些与恶意行为无关的噪音而且对混淆技术的抵抗力较弱。本文实现了一种基于内核对象的动态恶意代码检测技术。具体实现过程如下所述:本文使用动态污点分析技术监控样本在运行时污点在各个内核对象之间的传播路径,并捕获内核对象之间的依赖关系以及各个内核对象的对象属性等信息,将这些信息存入结果文件。解析结果文件并在此基础上构建内核对象行为图,之后使用图聚类方法为每个恶意家族构建一个公共行为图,并使用图的匹配得到相应的检测结果。本文方法具有较高检测率以及较低误报率等特点,其检测效果相比一些基于系统调用依赖图的方法具有一定的提高。并且本文在二进制分析平台Bitblaze的动态二进制分析组件TEMU基础上编写插件实现了动态污点分析功能,捕获了污点在内核对象之间的传播路径进而获得了内核对象之间的依赖关系。
[Abstract]:With the development of the Internet, more and more malicious code has been generated and attacked people's computer system, which has affected people's normal life, although there are some malicious code detection techniques. However, with the increase of malicious code types and the speed of transmission, the detection ability and anti-attack ability of these technologies are more and more unable to meet the needs of people. Therefore, it is necessary to put forward malicious code detection technology with higher efficiency and detection effect. At present, there are two kinds of detection methods: dynamic and static malicious code detection technology. However, static malicious code detection technology. It's going to be hulled. Obfuscation and other back-analysis techniques, while dynamic detection techniques directly run samples and capture the behavior of the sample runtime, will not be affected by these back-analysis techniques. Kernel objects are a block of memory in the kernel. Specifically, it is a data structure in which object-related information is stored. The main malicious behavior of most malicious samples is achieved by manipulating kernel objects. So it is very important to introduce kernel object into malicious code detection. Now many graph-based detection methods use system call behavior graph. Not only will some noise independent of malicious behavior be introduced, but also the resistance to obfuscation technology is weak. This paper implements a dynamic malicious code detection technology based on kernel object. The implementation process is as follows:. In this paper, the dynamic stain analysis technique is used to monitor the propagation path of the samples at run time between each kernel object. The dependency between kernel objects and the object properties of each kernel object are captured and stored in the result file. The result file is parsed and the behavior graph of kernel object is constructed on this basis. Then we use graph clustering method to construct a common behavior graph for each malicious family and use graph matching to get the corresponding detection results. This method has the characteristics of high detection rate and low false alarm rate. Compared with some methods based on system call dependency graph, the detection effect is improved in this paper. Furthermore, the plug-in is written on the basis of dynamic binary analysis component TEMU of binary analysis platform Bitblaze. The function of dynamic stain analysis is realized. The propagation path of stain between kernel objects is captured and the dependencies between kernel objects are obtained.
【学位授予单位】:哈尔滨工业大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 李梦雨;;关于系统调用的发展研究综述[J];河北经贸大学学报(综合版);2010年01期
2 姚立红 ,訾小超 ,黄皓 ,茅兵 ,谢立;基于系统调用特征的入侵检测研究[J];电子学报;2003年08期
3 罗宁,喻莉;一种基于系统调用异常检测的改进算法[J];电子工程师;2005年07期
4 刘雪飞;王申强;吴伯桥;马恒太;;基于系统调用的入侵检测新方法[J];计算机应用研究;2006年12期
5 陶芬;尹芷仪;傅建明;;基于系统调用的软件行为模型[J];计算机科学;2010年04期
6 吴瀛;江建慧;张蕊;;基于系统调用的入侵检测研究进展[J];计算机科学;2011年01期
7 刘竹;陈晶;方良;;基于支持向量数据描述的系统调用轨迹异常检测[J];计算机应用与软件;2012年01期
8 李珍;田俊峰;杨晓晖;;基于系统调用属性的程序行为监控[J];计算机研究与发展;2012年08期
9 吴瀛;江建慧;;基于进程轨迹最小熵长度的系统调用异常检测[J];计算机应用;2012年12期
10 资武成,徐鹏飞;一种基于系统调用的主机入侵检测及实现[J];计算机与现代化;2003年01期
相关会议论文 前6条
1 吴瀛;江建慧;;一种基于异常模式的系统调用异常检测[A];第六届中国测试学术会议论文集[C];2010年
2 陈林博;江建慧;张丹青;;基于多版本冗余进程的容侵系统[A];第十四届全国容错计算学术会议(CFTC'2011)论文集[C];2011年
3 朱国强;刘真;李宗伯;;基于程序行为分析的入侵检测技术研究[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
4 符蓉;徐向阳;王靖;;Linux下基于交叉视图的隐蔽恶意代码检测[A];第八届全国信息隐藏与多媒体安全学术大会湖南省计算机学会第十一届学术年会论文集[C];2009年
5 石玉平;何银南;郭俊杰;张琳;;机电测控系统调用Matlab函数的实现[A];制造技术自动化学术会议论文集[C];2002年
6 高岩;董占球;;有限目标的系统级防护技术的研究与实现[A];第十八次全国计算机安全学术交流会论文集[C];2003年
相关重要报纸文章 前1条
1 郑林;保护关键服务器[N];网络世界;2002年
相关博士学位论文 前3条
1 徐明;基于系统调用的异常入侵检测技术及IDS扩展功能的研究[D];浙江大学;2003年
2 尹芷仪;基于结构指纹和污点跟踪的软件行为模型研究[D];武汉大学;2010年
3 张桂玲;基于软计算理论的入侵检测技术研究[D];天津大学;2006年
相关硕士学位论文 前10条
1 苏杰;基于系统调用的入侵检测研究[D];华中科技大学;2007年
2 徐文龙;虚拟化系统进程防护技术研究与实现[D];南京理工大学;2015年
3 赵尚杰;云环境下多层次粒度可控的安全审计方法研究[D];哈尔滨工业大学;2015年
4 杨洋;基于Linux进程行为的入侵检测技术研究[D];电子科技大学;2014年
5 冯威;基于内核对象的动态恶意代码检测[D];哈尔滨工业大学;2014年
6 符鹤;基于系统调用的入侵检测实现与评估[D];中南大学;2005年
7 王宇;基于系统调用异常检测的深度分析方法[D];华中科技大学;2005年
8 朱朝晖;系统调用在入侵检测中的研究与应用[D];广东工业大学;2008年
9 许铝才;采用系统调用监测安卓应用资源使用的研究[D];复旦大学;2013年
10 阎明;基于系统调用和上下文的异常检测技术研究[D];哈尔滨工程大学;2009年
,本文编号:1483147
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1483147.html
