基于虚拟化的恶意代码检测技术研究与实现
本文关键词:基于虚拟化的恶意代码检测技术研究与实现,由笔耕文化传播整理发布。
【摘要】:互联网技术的快速发展及其在各行业的广泛应用,给人们带来便利的同时也带来巨大安全隐患,近年来随着震网、火焰等重大网络安全事件曝光,信息安全越来越受到重视,国家已把信息安全上升到国家安全战略层的高度。在信息安全领域中,恶意代码威胁程度最大,并向长期隐蔽性、高度针对性和较高攻击技巧等特点发展,已然成为信息安全领域中研究的热点,因此研究恶意代码检测技术在信息安全领域具有十分重要的意义。本文主要研究的是基于行为的恶意代码检测技术,目标为构建一个能对恶意代码进行行为监控和检测分类的自动化系统。本文主要工作有:(1)对当前主流的恶意代码技术进行分析研究,归纳总结了恶意代码的行为特征,基于Windows内核安全技术,研究在内核层实现对恶意代码行为的监控技术。(2)研究虚拟化技术以避免在检测过程中恶意代码破坏或泄露系统资源,对于文件资源采用内核级钩子技术实现虚拟化,对于网络资源通过添加设备驱动对网络传输数据进行过滤从而实现虚拟化。(3)在分析目前隐藏进程检测技术存在不足的基础上,本文提出了一种改进的隐藏进程检测技术,该技术能有效检测出操作系统中的隐藏进程,进而用于检测恶意代码进程的隐藏属性。(4)采用层次分析法(AHP)对代码进行恶意性检测,建立基于AHP的恶意代码评估模型。在此基础上,用BP神经网络进行改进,实现对恶意代码评估结果进行种类细分,具体可分为病毒、木马、蠕虫和其它四类,提出一种改进的基于AHP的BP神经网络恶意代码分类方法,并通过实验证明该方法的有效性。(5)根据基于行为的恶意代码检测方法设计并实现了基于虚拟化技术的恶意代码检测系统,实验结果表明该系统能有效地监控到运行在操作系统中恶意代码的行为并做出判断。本文创新点主要体现在以下几个方面:(1)在研究几种隐藏进程检测技术的基础之上,提出了一种改进的隐藏进程检测技术,能有效地检测出操作系统中隐藏进程,用于检测恶意代码的进程隐藏属性。(2)提出一种改进的基于AHP的BP神经网络恶意代码检测方法,该方法通过建立AHP恶意代码评估模型并使用BP神经网络进行改进,实现对恶意代码评估结果进行种类细分。(3)运用Windows驱动开发和C++编程技术,设计实现了基于虚拟化的恶意代码检测系统原型,既能有效地检测恶意代码,又能对恶意代码种类进行细分。
【关键词】:恶意代码 行为监控 虚拟化 隐藏进程 检测
【学位授予单位】:广东工业大学
【学位级别】:硕士
【学位授予年份】:2016
【分类号】:TP393.08
【目录】:
- 摘要10-12
- ABSTRACT12-14
- 第一章 绪论14-19
- 1.1 研究背景和意义14-16
- 1.1.1 研究背景14-15
- 1.1.2 研究意义15-16
- 1.2 国内外研究现状16-17
- 1.3 研究内容17
- 1.4 本文结构17-19
- 第二章 恶意代码相关技术研究19-31
- 2.1 恶意代码的分类19-20
- 2.2 恶意代码自我保护技术20-22
- 2.3 Windows PE文件22-24
- 2.4 恶意代码检测的主流技术24-27
- 2.4.1 静态分析24-26
- 2.4.2 动态分析26-27
- 2.5 恶意代码行为特征研究27-30
- 2.5.1 注册表行为28-29
- 2.5.2 进程行为29
- 2.5.3 文件行为29-30
- 2.5.4 网络行为30
- 2.6 本章小结30-31
- 第三章 基于虚拟化的恶意代码检测技术研究31-49
- 3.1 基于行为的恶意代码检测方法的理论31
- 3.2 虚拟化技术研究31-37
- 3.2.1 基于内核层钩挂文件虚拟化技术31-34
- 3.2.2 基于TDI技术的网络虚拟化34-37
- 3.3 隐藏进程检测技术研究37-40
- 3.3.1 一种改进的隐藏进程检测技术37-40
- 3.3.2 效率分析40
- 3.4 基于AHP的BP神经网络恶意代码检测方法40-48
- 3.4.1 基于AHP的恶意代码评估模型40-44
- 3.4.2 BP神经网络改进原理44-48
- 3.5 本章小结48-49
- 第四章 基于虚拟化的恶意代码检测系统设计49-64
- 4.1 系统总体设计49-51
- 4.2 系统模块详细设计51-63
- 4.2.1 文件模块设计51-53
- 4.2.2 注册表模块设计53-55
- 4.2.3 进程模块设计55-59
- 4.2.4 网络模块设计59-61
- 4.2.5 内核模块设计61
- 4.2.6 判断子系统设计61-63
- 4.3 本章小结63-64
- 第五章 系统的实现及测试64-74
- 5.1 系统实现64-68
- 5.1.1 系统加载恶意程序界面64-65
- 5.1.2 文件模块65
- 5.1.3 注册模块65-66
- 5.1.4 进程模块66
- 5.1.5 网络模块66-67
- 5.1.6 测试结果67-68
- 5.2 系统测试及其分析68-73
- 5.2.1 行为监控有效性分析68-71
- 5.2.2 恶意代码检测有效性分析71-73
- 5.3 本章小结73-74
- 总结与展望74-76
- 参考文献76-79
- 附录A79-80
- 攻读硕士学位期间的研究成果80-82
- 致谢82
【相似文献】
中国期刊全文数据库 前10条
1 史庆庆;孟繁军;张丽萍;刘东升;;克隆代码技术研究综述[J];计算机应用研究;2013年06期
2 何晓琴;;深入剖析C++中的指针与C#中的委托[J];重庆电力高等专科学校学报;2009年01期
3 朱天明;刘嘉勇;;基于代码搬移的PE文件信息隐藏[J];通信技术;2010年08期
4 杨群;杨献春;许满武;;代码缩减技术的研究[J];计算机科学;2006年02期
5 李淑彪;通过“需求配置”改进类代码的重用性能[J];小型微型计算机系统;2004年11期
6 阿布力米提·阿不都热依木,吐尔根·伊布拉音,牙森·艾则孜;Windows9X API的拦截技术[J];新疆大学学报(自然科学版);2003年02期
7 谭东;;根据JAVA语言命名的特征,分析代码段的组织结构[J];黑龙江科技信息;2010年17期
8 冯士德;;基于C++/CLI实现托管代码与非托管代码的交互[J];微型电脑应用;2013年01期
9 刘伟;刘宏韬;胡志刚;;代码缺陷与代码味道的自动探测与优化研究[J];计算机应用研究;2014年01期
10 马翔 ,余矶;Windows API拦截技术及实现[J];电脑编程技巧与维护;2001年02期
中国重要报纸全文数据库 前3条
1 周松林;上证所固定收益平台启用新代码段[N];中国证券报;2007年
2 周松林;730代码段仍在使用 申购新股宜仔细识别[N];中国证券报;2006年
3 本报记者 王璐;IPO临近 上证所启用股票新代码[N];上海证券报;2006年
中国博士学位论文全文数据库 前5条
1 边奕心;可重构克隆代码的过程提取方法研究[D];哈尔滨工业大学;2014年
2 张刚;代码克隆扩展分析及管理技术研究[D];复旦大学;2013年
3 解培岱;恶意代码行为挖掘关键技术研究[D];国防科学技术大学;2013年
4 韩晓光;恶意代码检测关键技术研究[D];北京科技大学;2015年
5 何丽莉;横切关注分离方法研究[D];吉林大学;2007年
中国硕士学位论文全文数据库 前10条
1 陈娟英;基于亲缘性分析的恶意代码检测技术研究与实现[D];电子科技大学;2014年
2 李湘宁;基于虚拟化的恶意代码检测技术研究与实现[D];广东工业大学;2016年
3 刘鑫;重复代码检测方法及其应用[D];哈尔滨工业大学;2007年
4 舒翔;基于索引和序列匹配的代码克隆检测技术研究[D];杭州电子科技大学;2015年
5 张鹏;C程序相似代码识别方法的研究与实现[D];大连理工大学;2008年
6 党舒凡;具有时间多样性的JavaScript代码保护方法的研究与实现[D];西北大学;2014年
7 梁婕;一种静态代码安全分析系统的设计与实现[D];北京邮电大学;2008年
8 程金宏;程序代码相似度度量研究[D];内蒙古师范大学;2007年
9 尹丽丽;基于主题模型的克隆代码有害性预测研究[D];内蒙古师范大学;2014年
10 张亮;源代码专家推荐系统设计与实现[D];山东大学;2010年
本文关键词:基于虚拟化的恶意代码检测技术研究与实现,,由笔耕文化传播整理发布。
本文编号:363241
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/363241.html
