基于行为特征分析的恶意代码检测系统研究与实现
[Abstract]:At present, malicious code technology, such as viruses, Trojans, backdoors and so on, has developed rapidly, and major economic losses and important leaks have occurred frequently. The traditional detection technology is poor for the detection of unknown malicious code, so it is an urgent need to analyze the behavior of binary code and mine the subtle difference between normal software and malware behavior. This paper analyzes and compares the famous malicious code (such as ghost, Duck shell and so on) in the Internet, finds out the behavior characteristics of malicious code, and then analyzes the API Hook technology of the application IAT structure. This paper studies the automatic analysis method for malicious code, and selects API call sequence as the main research basis for behavior characteristics. In the process of analyzing malicious code, rootkit virus is often encountered, which makes the analysis impossible. Therefore, the realization principle and detection method of rootkit Trojan horse are analyzed, and the IDT hook and SSDT hook of IAT hook are discussed emphatically. Finally, this paper analyzes and compares the original attack tree model, improved attack tree model and extended attack tree model, and proposes an improved attack tree model based on weighted eigenvector. In this model, the concept of weighted eigenvector is used to classify malicious acts. An active detection system prototype is designed and implemented based on an improved attack tree model based on weighted eigenvector. The prototype models the behavior characteristics of malicious code, synthesizes API call sequence, functional behavior feature, hidden behavior feature and rootkit behavior feature of malicious code. Detailed analysis report and key behavior record are given to facilitate manual detection and in-depth analysis of malicious code. Experiments show that this method can effectively detect known or unknown malicious code, and can also detect the malicious code using flower instruction, shell, polymorphic deformation and other anti-detection techniques. It has great application value in active recognition of malware.
【学位授予单位】:电子科技大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 李佳静;梁知音;韦韬;毛剑;;一种基于语义的恶意行为分析方法[J];北京大学学报(自然科学版);2008年04期
2 车晶;张瑛;;一种基于主动学习的数据库恶意行为检测方法[J];网络安全技术与应用;2012年10期
3 游超;庞建民;戴超;岳峰;;基于关键点复用的恶意行为检测方法[J];信息工程大学学报;2013年05期
4 蔡皖东;;基于数据挖掘的恶意行为检测方法[J];计算机科学;2003年04期
5 黄茜;武东英;孙晓妍;;一种层次化的恶意代码行为分析方法[J];计算机应用;2010年04期
6 张一弛;庞建民;范学斌;姚鑫磊;;基于模型检测的程序恶意行为识别方法[J];计算机工程;2012年18期
7 李子锋;程绍银;蒋凡;;一种Android应用程序恶意行为的静态检测方法[J];计算机系统应用;2013年07期
8 张翠艳;张平;胡刚;薛亮;;基于硬件资源访问控制的固件恶意行为研究[J];计算机应用研究;2011年07期
9 孙晓妍;祝跃飞;黄茜;郭宁;;基于系统调用踪迹的恶意行为规范生成[J];计算机应用;2010年07期
10 杨波威;宋广华;郑耀;;社会化P2P网络中恶意行为预防机制[J];华中科技大学学报(自然科学版);2012年S1期
相关会议论文 前1条
1 王永健;;浏览器扩展中的恶意行为分析[A];虚拟运营与云计算——第十八届全国青年通信学术年会论文集(下册)[C];2013年
相关重要报纸文章 前2条
1 [美]克莉斯·丹姆察克 孙西辉 编译;警惕“网络战争”摧毁未来[N];社会科学报;2013年
2 单群一;浪潮为烟草行业提供安全加固系统[N];中国税务报;2008年
相关硕士学位论文 前10条
1 谭丞;基于事件流的移动平台恶意行为检测研究[D];复旦大学;2014年
2 徐安林;基于海量WEB日志的网络恶意行为分析系统设计与实现[D];中国科学院大学(工程管理与信息技术学院);2015年
3 张建松;基于行为特征分析的恶意代码检测系统研究与实现[D];电子科技大学;2014年
4 张钢岭;基于模拟执行的恶意行为检测模型研究[D];陕西师范大学;2010年
5 王晓娣;基于虚拟机架构的恶意行为跟踪系统[D];华中科技大学;2013年
6 袁雪冰;基于程序语义的静态恶意代码检测系统的研究与实现[D];哈尔滨工业大学;2009年
7 刘們成;基于分布式计算的移动数据恶意行为检测研究与实现[D];北京邮电大学;2015年
8 戴敏斐;基于Web2.0的数据分析及数据模型的设计与验证[D];上海交通大学;2009年
9 刘琳爽;Linux下基于多路径的恶意行为规范自动挖掘[D];湖南大学;2010年
10 杨乐康;关于固件代码恶意行为的分析技术研究[D];山东大学;2013年
,本文编号:2124303
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2124303.html
