面向恶意程序网络行为分析的虚拟网络设计与实现
发布时间:2021-05-21 16:24
互联网的蓬勃发展给人们的生活和工作带来了极大的便利,信息技术已经成为很多人生活和工作不可或缺的一部分。然而,与此同时网络面临的安全威胁越来越多样化,危害也越来越大。恶意程序,包括计算机病毒、蠕虫、木马和僵尸等,已经成为计算机和网络最大的威胁之一。传统的恶意程序分析方法是基于特征码的静态分析技术,这种方法虽然也在不断的发展,但是由于恶意程序在数量上井喷式的增长、在技术上采用加密、多态和变形等手段以及静态分析无法有效防御未知恶意程序的缺陷,使得基于恶意程序行为的动态分析技术成为新的解决方法。由于互联网与技术的发展,越来越多的恶意程序都具有一定的网络行为,甚至主要的恶意行为就是通过网络实现的,同时,智能化的恶意程序能在没有检测到网络连接的情况下隐藏自身的恶意行为,从而给恶意程序行为的捕获带来了很大的困难。因此,如何构建虚拟网络、诱骗恶意程序产生更多的网络行为成为基于行为的动态分析领域研究的热点和难点。另外,由于恶意程序的种类和数量的迅猛增长,恶意程序的自动化分析技术成为发展的必然趋势。为了解决上述问题,本文实现了面向恶意程序网络行为分析的虚拟网络,该虚拟网络实现了常见网络协议数据包目的地址和...
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:84 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景
1.2 研究意义与目的
1.3 国内外研究现状
1.4 本文研究内容及章节结构
第二章 恶意程序与课题相关工作
2.1 恶意程序的分析方法
2.1.1 静态分析方法
2.1.2 动态分析方法
2.2 恶意程序的网络行为
2.2.1 DNS行为
2.2.2 ICMP行为
2.2.3 HTTP行为
2.2.4 FTP行为
2.2.5 SMTP行为
2.2.6 其它TCPP/IP协议行为
2.3 课题相关工作
2.3.1 系统总体结构与流程
2.3.2 基于QEMU的API信息捕获
2.4 本章小结
第三章 虚拟网络的设计与实现
3.1 研究意义
3.2 软路由ROS
3.3 虚拟网络的布局
3.3.1 三虚拟机方法
3.3.2 二虚拟机方法
3.3.3 两种方法对比
3.4 网络服务虚拟机
3.5 DNS
3.5.1 DNS重定向
3.5.2 DNS服务器
3.5.3 DNS轮询
3.6 HTTP
3.6.1 HTTP重定向
3.6.2 HTTP服务器
3.7 FTP
3.7.1 FTP重定向
3.7.2 FTP服务器
3.8 SMTP
3.8.1 SMTP重定向
3.8.2 SMTP服务器
3.8.3 附件恢复
3.9 ICMP
3.10 其它TCP/IP通信
3.11 数据包捕获
3.12 本章小结
第四章 恶意程序沙盒调度管理模块的设计与实现
4.1 设计的意义
4.2 设计结构
4.3 数据的传输
4.4 样本文件
4.4.1 样本文件类型
4.4.2 文件自动解压缩
4.5 本章小结
第五章 实验与分析
5.1 虚拟网络的测试
5.1.1 DNS
5.1.2 HTTP
5.1.3 FTP
5.1.4 SMTP
5.1.5 ICMP
5.1.6 其它TCP/IP通信
5.2 虚拟网络中恶意程序的网络行为捕获
5.2.1 实验对比
5.2.2 实验结果分析
5.3 本章小结
第六章 总结与展望
5.1 总结
5.2 展望
致谢
参考文献
【参考文献】:
期刊论文
[1]自动的恶意代码动态分析系统的设计与实现[J]. 管云涛,段海新. 小型微型计算机系统. 2009(07)
[2]恶意程序的发展趋势分析[J]. 闫兵. 计算机安全. 2009(03)
[3]HoneyBow:一个基于高交互式蜜罐技术的恶意代码自动捕获器[J]. 诸葛建伟,韩心慧,周勇林,宋程昱,郭晋鹏,邹维. 通信学报. 2007(12)
[4]信息安全现状及发展趋势[J]. 周霞. 大众科技. 2006(07)
硕士论文
[1]基于最小行为的恶意程序自动检测技术研究[D]. 刘文闯.西安电子科技大学 2012
[2]恶意代码检测及其行为分析[D]. 李阳.西安电子科技大学 2010
[3]恶意代码设计和分析技术的研究与实现[D]. 王德强.清华大学 2005
本文编号:3200019
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:84 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景
1.2 研究意义与目的
1.3 国内外研究现状
1.4 本文研究内容及章节结构
第二章 恶意程序与课题相关工作
2.1 恶意程序的分析方法
2.1.1 静态分析方法
2.1.2 动态分析方法
2.2 恶意程序的网络行为
2.2.1 DNS行为
2.2.2 ICMP行为
2.2.3 HTTP行为
2.2.4 FTP行为
2.2.5 SMTP行为
2.2.6 其它TCPP/IP协议行为
2.3 课题相关工作
2.3.1 系统总体结构与流程
2.3.2 基于QEMU的API信息捕获
2.4 本章小结
第三章 虚拟网络的设计与实现
3.1 研究意义
3.2 软路由ROS
3.3 虚拟网络的布局
3.3.1 三虚拟机方法
3.3.2 二虚拟机方法
3.3.3 两种方法对比
3.4 网络服务虚拟机
3.5 DNS
3.5.1 DNS重定向
3.5.2 DNS服务器
3.5.3 DNS轮询
3.6 HTTP
3.6.1 HTTP重定向
3.6.2 HTTP服务器
3.7 FTP
3.7.1 FTP重定向
3.7.2 FTP服务器
3.8 SMTP
3.8.1 SMTP重定向
3.8.2 SMTP服务器
3.8.3 附件恢复
3.9 ICMP
3.10 其它TCP/IP通信
3.11 数据包捕获
3.12 本章小结
第四章 恶意程序沙盒调度管理模块的设计与实现
4.1 设计的意义
4.2 设计结构
4.3 数据的传输
4.4 样本文件
4.4.1 样本文件类型
4.4.2 文件自动解压缩
4.5 本章小结
第五章 实验与分析
5.1 虚拟网络的测试
5.1.1 DNS
5.1.2 HTTP
5.1.3 FTP
5.1.4 SMTP
5.1.5 ICMP
5.1.6 其它TCP/IP通信
5.2 虚拟网络中恶意程序的网络行为捕获
5.2.1 实验对比
5.2.2 实验结果分析
5.3 本章小结
第六章 总结与展望
5.1 总结
5.2 展望
致谢
参考文献
【参考文献】:
期刊论文
[1]自动的恶意代码动态分析系统的设计与实现[J]. 管云涛,段海新. 小型微型计算机系统. 2009(07)
[2]恶意程序的发展趋势分析[J]. 闫兵. 计算机安全. 2009(03)
[3]HoneyBow:一个基于高交互式蜜罐技术的恶意代码自动捕获器[J]. 诸葛建伟,韩心慧,周勇林,宋程昱,郭晋鹏,邹维. 通信学报. 2007(12)
[4]信息安全现状及发展趋势[J]. 周霞. 大众科技. 2006(07)
硕士论文
[1]基于最小行为的恶意程序自动检测技术研究[D]. 刘文闯.西安电子科技大学 2012
[2]恶意代码检测及其行为分析[D]. 李阳.西安电子科技大学 2010
[3]恶意代码设计和分析技术的研究与实现[D]. 王德强.清华大学 2005
本文编号:3200019
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3200019.html
