恶意代码的行为分析

发布时间：2023-03-19 16:28

　　恶意代码（如病毒、僵尸网络、木马、蠕虫、Rootkit）的爆发式增长严重威胁着信息系统安全。尽管常用的恶意代码检测技术，比如基于异常的恶意代码检测，可以检测识别出部分恶意代码，但是始终存在缺陷与不足。因此，研究恶意代码分析检测技术意义重大。 本文对恶意代码的定义、种类以及特征进行了概括。详细讨论了常用的恶意行为监视方法及其各自的缺点与不足。在这基础上，基于硬件辅助虚拟化特性提出一种改进的恶意代码行为监视方法。这种方法监视系统事件获取代码的行为特征，它以较低的性能开销实现恶意代码透明行为监视。 对于恶意代码分析，静态分析不能检测未知恶意代码和变体攻击，动态分析占用系统资源多而且误报率高。论文提出一种基于综合行为特征的恶意代码分析方法，主要提取代码的关联行为特征、系统调用序列特征和函数调用特征，并且综合这些行为特征利用加权投票算法判定代码是否为恶意代码。 本文研究恶意代码的透明行为监视、行为特征分析和虚拟化技术，实现了基于综合行为特征分析的恶意代码检测系统。该原型系统主要包括：启动检测模块、虚拟机模块、行为特征分析模块和代码检测模块。启动检测模块完成系统启动检测和加载虚拟机模块功能，虚拟机...

【文章页数】：62 页

【学位级别】：硕士

【文章目录】：
摘要
Abstract
第一章 绪论
    1.1 研究背景
        1.1.1 恶意代码的危害
        1.1.2 恶意代码的定义
    1.2 研究现状
    1.3 本文研究的内容与组织结构
第二章 恶意代码相关技术
    2.1 传统恶意代码检测技术
        2.1.1 特征码检测机制
        2.1.2 异常检测机制
        2.1.3 沙箱技术
        2.1.4 启发式检测
    2.2 恶意代码反检测技术
    2.3 虚拟化技术
        2.3.1 虚拟化类型
        2.3.2 x86 硬件辅助虚拟化
    2.4 本章小结
第三章 恶意代码行为监视
    3.1 传统监视方法
        3.1.1 相关监视方法
        3.1.2 完整性保护
    3.2 性能与安全条件
    3.3 改进的安全内部 VM 监视
        3.3.1 MSIM 总体架构设计
        3.3.2 改进的安全监视器功能
    3.4 架构实现
        3.4.1 初始化阶段
        3.4.2 运行时内存保护
    3.5 实验评估
        3.5.1 调用开销
        3.5.2 应用测试
    3.6 本章小结
第四章 恶意代码行为特征分析
    4.1 恶意代码分析技术
        4.1.1 静态分析技术
        4.1.2 动态分析技术
    4.2 基于综合行为特征的恶意代码分析
        4.2.1 系统模型构架
        4.2.2 行为特征提取
        4.2.3 综合特征加权投票
    4.3 实验评估
        4.3.1 参数定义
        4.3.2 实验结果
    4.4 本章小结
第五章 基于综合行为特征分析的恶意代码检测系统设计
    5.1 相关技术研究
        5.1.1 程序执行抽象模型
        5.1.2 恶意代码透明检测分析
        5.1.3 透明性条件
    5.2 系统原型
        5.2.1 系统总体框架
        5.2.2 功能模块设计
    5.3 系统测试
        5.3.1 检出率测试
        5.3.2 误报率测试
    5.4 本章小结
第六章 总结与展望
    6.1 总结
    6.2 进一步研究方向与建议
参考文献
附录 2 攻读硕士学位期间撰写的论文
致谢



本文编号：3765576