基于VMware的恶意程序分析技术
本文关键词:基于VMware的恶意程序分析技术,由笔耕文化传播整理发布。
【摘要】:恶意程序的频现使得网络信息安全形势日益严峻,其变形逃避技术的不断升级也使分析检测变得愈加困难。本文在学习当前恶意程序检测技术及虚拟机相关技术的基础上,提出了一个综合分析检测模型,结合多种检测分析工具,通过在不同阶段对程序代码的认真分析,提取出不同的特征,并采取逐步分类的方式最大程度上正确分类恶意程序,为后面采取相应的处理措施提供依据。主要做了以下一些工作:1.基于虚拟机技术提出了一个综合分析模型。鉴于当前恶意程序变形技术的复杂化,本文提出的模型将对程序的预处理作为第一个单独的模块重点进行分析,对程序进行脱壳解密处理,呈现程序的本来面目,方便后续的分析。同时本模型在静态分析和动态分析的基础上,加入了综合分析模块用于对分析检测比较困难的恶意程序进行分析检测。2.给出了新的特征提取方法。本文提出了在预处理阶段提取程序的基本信息,在静态分析阶段提取程序的函数特征和在动态分析阶段提取程序的行为特征的方法。一方面这样提取的特征信息比较完整,另一方面这些特征更能准确表现程序的功能,便于做出正确的判断。3.提出了分步分类综合衡量的思路。以往的方法都是在可疑程序检测分析的基础上最后做一个分类,本文提出了分步分类的思路,即在对可疑程序检测分析的静态、动态和最后综合阶段分别进行分类,这样既能实现对可疑程序的快速分类,提高检测效率,节省分析成本,又能根据每个可疑程序的复杂程度对其做出最大限度的正确分类。4.针对各模块给出了不同的分类方法。静态、动态模块根据各自提取特征的特点设计了不同的分类算法来进行分类。在最后的综合分析模块本文采用加权向量组成程序的数据特征向量空间,对SVM的分类公式做了简单修改以利于我们的对程序分类,同时对SVM分类器的训练采取主动学习,逐步优化的方式节省了人力和时间。
【关键词】:恶意程序 虚拟技术 检测分析技术 SVM
【学位授予单位】:西安电子科技大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
- 摘要5-6
- ABSTRACT6-13
- 第一章 绪论13-17
- 1.1 选题背景13-14
- 1.2 恶意程序简介14-15
- 1.2.1 恶意程序定义14
- 1.2.2 恶意程序行为14
- 1.2.3 恶意程序检测技术14-15
- 1.3 恶意程序发展趋势15-16
- 1.4 结构安排16-17
- 第二章 恶意程序及Rootkit分析基础17-25
- 2.1 恶意程序分析基础17-20
- 2.1.1 壳技术基础17-19
- 2.1.2 加密技术19-20
- 2.2 Rootkit分析基础20-21
- 2.2.1 Rootkit功能20-21
- 2.2.2 内核的主要功能21
- 2.3 支持向量机基础21-25
- 2.3.1 线性可分支持向量机21-22
- 2.3.2 线性不可分支持向量机22-23
- 2.3.3 核函数的选择23
- 2.3.4 Outliers处理方法23-25
- 第三章 基于VMware的恶意程序检测系统设计25-45
- 3.1 基本思路25-27
- 3.2 预处理模块27-33
- 3.2.1 脱壳28-31
- 3.2.2 解密31-33
- 3.2.3 反汇编33
- 3.3 静态分析模块33-37
- 3.3.1 特征分析34-35
- 3.3.2 特征提取35-36
- 3.3.3 分类算法36-37
- 3.3.4 代码分析37
- 3.4 动态分析模块37-41
- 3.4.1 动态分析流程37-39
- 3.4.2 内核工作原理39
- 3.4.3 动态特征分析39-41
- 3.4.4 动态分类算法41
- 3.5 综合分析模块41-44
- 3.5.1 特征分析41-42
- 3.5.2 综合分类42-44
- 3.6 系统综述44-45
- 第四章 实验分析45-61
- 4.1 实验环境的搭建45-46
- 4.2 各模块实验46-59
- 4.2.1 脱壳检测与脱壳实验46-52
- 4.2.2 静态反汇编分析实验52-54
- 4.2.3 动态执行分析实验54-59
- 4.3 综合分析结果59-60
- 4.3.1 实验性能指标59
- 4.3.2 实验步骤59-60
- 4.4 实验结果分析60-61
- 第五章 总结与展望61-63
- 5.1 作总结61
- 5.2 研究展望61-63
- 参考文献63-67
- 致谢67-69
- 作者简介69
【相似文献】
中国期刊全文数据库 前10条
1 ;用好安装光盘之清除恶意程序[J];电脑迷;2007年06期
2 周端,李娜,杨银堂;恶意程序的检测和删除[J];微电子学与计算机;2002年01期
3 李智;;小鬼当家——2005年恶意程序的创新与突破[J];微电脑世界;2006年03期
4 苗启广;王蕴;曹莹;刘文闯;;面向最小行为的恶意程序检测研究[J];系统工程与电子技术;2012年08期
5 ;3721推出“上网助手”轻松对付恶意程序[J];电脑校园;2002年11期
6 ;病毒常用激活伎俩[J];计算机时代;2004年06期
7 史国水;樊宁;汪来富;沈军;;移动互联网恶意程序防护方案研究[J];电信技术;2013年10期
8 黄家贞;远离恶意程序的困扰[J];电脑爱好者;2002年07期
9 道道;;“扫除”技巧之清除恶意程序[J];网络与信息;2009年01期
10 罗文华;;基于逆向技术的恶意程序分析方法[J];计算机应用;2011年11期
中国重要会议论文全文数据库 前3条
1 邓超国;谷大武;胡维奇;;一种基于动态指令流的恶意程序检测方法[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
2 陈建民;梅银明;;浅谈基于海量样本的恶意程序自动鉴别技术[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
3 王维;肖新光;张栗炜;;基于决策树模型的恶意程序判定方法[A];全国网络与信息安全技术研讨会论文集(上册)[C];2007年
中国重要报纸全文数据库 前10条
1 ;恶意程序增长快[N];网络世界;2005年
2 本报记者 张磊;恶意程序亟须统一界定[N];中国消费者报;2007年
3 本报记者 张磊;移动互联网恶意程序将受严密监控[N];中国消费者报;2011年
4 记者 赵晓辉 高亢 张辛欣;一天新增恶意程序2000多个[N];新华每日电讯;2014年
5 钱贤良;木马等恶意程序亟待加强法律治理[N];检察日报;2007年
6 记者 张辛欣 刘菊花;工信部发文认定“移动互联网恶意程序”[N];新华每日电讯;2011年
7 赵子元邋通讯员 李凯;辽宁有效整治感染互联网恶意程序主机[N];人民邮电;2008年
8 记者 王慧峰;工信部严管移动互联网恶意程序[N];人民政协报;2011年
9 向阳;安卓短信欺诈致120万台手机中招[N];科技日报;2012年
10 安娜;手机恶意程序暴涨 举报垃圾短信4亿[N];人民邮电;2014年
中国博士学位论文全文数据库 前2条
1 曹莹;基于行为特征的恶意程序动态分析与检测方法研究[D];西安电子科技大学;2014年
2 王长广;无线环境下恶意程序的传播机制研究[D];西安电子科技大学;2009年
中国硕士学位论文全文数据库 前10条
1 江雪;基于VMware虚拟机的恶意程序仿真检测平台设计与实现[D];电子科技大学;2014年
2 郑司南;计算机恶意程序类犯罪研究[D];华东政法大学;2015年
3 李杰;基于VMware的恶意程序分析技术[D];西安电子科技大学;2015年
4 刘文闯;基于最小行为的恶意程序自动检测技术研究[D];西安电子科技大学;2012年
5 黄有成;面向恶意程序网络行为分析的虚拟网络设计与实现[D];西安电子科技大学;2013年
6 汪洋;文件型恶意程序的定义及防御方法研究与实现[D];国防科学技术大学;2011年
7 何国贤;基于沙盒技术的多平台恶意程序分析工具研究与实现[D];电子科技大学;2013年
8 张永超;基于虚拟执行技术的恶意程序检测系统研究与实现[D];国防科学技术大学;2011年
9 魏向宇;基于程序结构特征的变形恶意程序静态检测[D];南京大学;2014年
10 郑春阳;恶意程序检测与分类系统的设计与实现[D];西安电子科技大学;2013年
本文关键词:基于VMware的恶意程序分析技术,由笔耕文化传播整理发布。
,本文编号:322063
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/322063.html
