用于恶意代码检测的沙箱技术研究
发布时间:2021-01-21 08:47
恶意代码通过多种手段在计算机系统和网络中迅速传播,对信息安全产生严重影响。近几年,计算机病毒、蠕虫和木马等恶意代码在技术上逐步趋向交叉和融合,其攻击力、破坏力和生存能力都显著增强,这给恶意代码的检测、防御和清除工作带来严峻挑战。因此,研究恶意代码的检测技术对其防治工作具有重要的现实意义。本文针对传统沙箱在用户空间中对系统API函数调用进行监控,很容易被恶意代码绕过,并且,基于虚拟机和仿真环境的检测方法过多的消耗系统资源,且容易被恶意代码的防御检测机制发现的缺点,使用内核级的API Hook技术,对恶意代码的系统API函数调用进行更底层的监控和拦截,对恶意行为进行内核级的监控;使用基于操作系统级系统调用接口资源的重命名机制,对恶意代码请求的系统资源进行重定向,使其操作重定向以后的系统资源,或者对该系统调用操作进行虚拟化,从而,实现了一个真实且隔离的恶意代码执行环境。并且,沙箱可以尽可能多的共享操作系统资源,使用只对恶意行为进行监控,对非恶意行为放行的策略,满足了构建高性能沙箱的要求,并保证了恶意代码在沙箱中能够完整执行,实现了检测过程的有效性和完整性。本文主要针对Windows操作系统的...
【文章来源】:哈尔滨工程大学黑龙江省 211工程院校
【文章页数】:68 页
【学位级别】:硕士
【部分图文】:
AHVE沙箱运行界面截图
沙箱系统的部署环境网络主机个人电脑容器互联网
在仿真实验中,根据检测行为的 5 个种类,定义了 5 个行为检测有效性公文件监控有效性公式:( )( )( )×100%filefilefileSPR 注册表监控有效性公式:( )( )( )×100%regeditregeditregeditSPR 网络监控有效性公式:( )( )( )×100%networknetworknetworkSPR 进程/线程监控有效性公式:( & )( & )( & )×100%proc thrproc thrproc thrSPR 内核模块加载监控有效性公式:( )( )( )×100%corecorecoreSPR 使用以上行为检测有效性计算公式,对表 5.1 中每款沙箱检测到的行为数据,得出有效性的百分比数据,画出行为有效性的对比折线示意图,如图 5.3 所
本文编号:2990857
【文章来源】:哈尔滨工程大学黑龙江省 211工程院校
【文章页数】:68 页
【学位级别】:硕士
【部分图文】:
AHVE沙箱运行界面截图
沙箱系统的部署环境网络主机个人电脑容器互联网
在仿真实验中,根据检测行为的 5 个种类,定义了 5 个行为检测有效性公文件监控有效性公式:( )( )( )×100%filefilefileSPR 注册表监控有效性公式:( )( )( )×100%regeditregeditregeditSPR 网络监控有效性公式:( )( )( )×100%networknetworknetworkSPR 进程/线程监控有效性公式:( & )( & )( & )×100%proc thrproc thrproc thrSPR 内核模块加载监控有效性公式:( )( )( )×100%corecorecoreSPR 使用以上行为检测有效性计算公式,对表 5.1 中每款沙箱检测到的行为数据,得出有效性的百分比数据,画出行为有效性的对比折线示意图,如图 5.3 所
本文编号:2990857
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2990857.html
