基于沙箱的木马检测技术研究与实现

发布时间：2017-09-27 04:02

  本文关键词：基于沙箱的木马检测技术研究与实现

  更多相关文章： 木马 沙箱技术 扩展攻击树模型 API 行为监控技术

【摘要】：近年来,随着计算机技术的快速发展,互联网应用得到快速普及,网络用户也在急剧增加,这也使得互联网用户的机器时刻暴露于黑客的控制监控下,成为黑客的攻击目标,甚至将用户的机器作为攻击其它机器的终端。木马程序作为恶意程序的一种,经常被作为黑客窃取互联网用户的账号信息、私人资料或商业秘密等的重要攻击手段。相比其他种类的恶意程序,木马程序具有更大的破坏性和危险性,因此本文针对木马检测技术进行研究。木马检测技术一般分为静态和动态两种检测技术,静态检测技术不需要直接运行程序,不仅不会对系统造成真实的破坏,而且检测速度快,误报率低,但需要庞大的特征库支撑,并且在面对已知木马程序的隐藏和变化时略显不足,对于未知木马程序亦是无能为力；而动态检测技术可以实时截获木马行为,也能依据木马行为检测出新的木马,但是运行程序需要占用较多的系统资源导致效率不高,对于已经发现的木马程序,会造成事实上的危害。沙箱(Sandbox)技术是一种通过对程序实施限制隔离的安全保护机制,可用于测试可疑程序,为避免其恶意行为对系统造成危害,把程序生成和修改的资源重定向到沙箱中,程序操作的并不是真实的资源,而是虚拟的资源或者是一个副本,从而实现程序的隔离。因此,本文采用沙箱作为动态检测木马的隔离环境,可以保护真实主机不受破坏且具备与真机运行一样的效果。本文主要针对Windows下的PE文件,分析了当前木马检测技术的不足并进行了总结。重点研究木马行为特征分析技术及扩展攻击树模型在木马检测中的应用。提出了一种改进的基于扩展攻击树模型的木马检测方法,通过分析对比静态分析PE文件及基于沙箱的行为监控技术的特点,采用静态检测和基于沙箱的动态检测相结合的方法,实现了对木马更高效、完整地的检测。本文的主要创新包括如下：(1)基于行为特征分析技术,将扩展攻击树模型引入到木马检测中,通过扩展节点属性信息对模型进行扩展,实现了更精确的匹配模型。(2)提出了一种改进的基于扩展攻击树模型的木马检测方法,改进了危险指数算法及模型匹配算法。采用基于木马行为特征的检测技术,实验证明改进后的方法降低了木马检测的误报率和漏报率。(3)运用C++编程技术,设计并实现了用于木马检测的沙箱原型系统。
【关键词】：木马 沙箱技术 扩展攻击树模型 API 行为监控技术
【学位授予单位】：广东工业大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08
【目录】：

• 摘要4-6
• ABSTRACT6-14
• 第一章 绪论14-19
• 1.1 研究背景14-15
• 1.2 国内外研究现状15-17
• 1.3 论文主要内容17-18
• 1.4 本文的结构18-19
• 第二章 相关技术分析19-28
• 2.1 常用木马攻击技术19-21
• 2.1.1 木马植入技术19
• 2.1.2 通信隐藏技术19-20
• 2.1.3 自启动技术20-21
• 2.2 木马检测关键技术分类21-24
• 2.2.1 特征码检测技术21-22
• 2.2.2 虚拟机技术22
• 2.2.3 实时监控技术22-23
• 2.2.4 行为分析技术23
• 2.2.5 沙箱技术23-24
• 2.3 木马行为分析技术24-25
• 2.3.1 行为分析技术在木马检测中的原理24
• 2.3.2 行为分析特点24-25
• 2.3.3 木马行为特征分析25
• 2.4 相关算法介绍25-27
• 2.5 本章小结27-28
• 第三章 扩展攻击树模型的构建28-35
• 3.1 攻击树概要28-29
• 3.2 扩展攻击树模型的构建29-33
• 3.2.1 扩展攻击树模型的提出29-30
• 3.2.2 PE文件特征提取30-32
• 3.2.3 原始扩展攻击树的构建方法32-33
• 3.3 扩展攻击树模型定义33-34
• 3.4 本章小结34-35
• 第四章 基于扩展攻击树模型的木马检测方法35-46
• 4.1 扩展攻击树的匹配35-37
• 4.1.1 待检测程序API短序列提取35
• 4.1.2 攻击子树的匹配与生成35-37
• 4.2 算法研究与实例分析37-42
• 4.2.1 改进危险指数算法37-39
• 4.2.2 实例分析39-42
• 4.3 动态调整扩展攻击树方法42-43
• 4.4 静态检测木马程序的实验与测试43-45
• 4.4.1 测量指标定义与阀值确定43-44
• 4.4.2 静态检测实验与结果44-45
• 4.5 本章小结45-46
• 第五章 基于沙箱的木马检测系统设计与实现46-58
• 5.1 系统设计要求46
• 5.2 系统设计方案46-47
• 5.3 系统执行流程47-48
• 5.4 沙箱关键技术研究48-50
• 5.4.1 API HOOK技术48-49
• 5.4.2 重定向技术和虚拟执行技术49-50
• 5.5 基于内核级API HOOK的木马行为监控技术50-55
• 5.6 基于沙箱的木马检测实验与测试55-57
• 5.6.1 系统实现环境55
• 5.6.2 系统行为监控界面55-56
• 5.6.3 动态检测实验与结果56-57
• 5.7 本章小结57-58
• 总结与展望58-60
• 参考文献60-63
• 攻读硕士学位期间发表的论文及著作权63-65
• 致谢65

【相似文献】

中国期刊全文数据库 前10条

1 赵旭;陈丹敏;颜学雄;王清贤;;沙箱技术研究综述[J];中原工学院学报;2014年04期

2 万立夫;;对付未知文件我用沙箱[J];网友世界;2011年02期

3 IT民工;;增强版沙箱 新版卡巴的安全免疫区[J];电脑迷;2009年17期

4 蒋文娟;降雪辉;;沙箱技术比较[J];才智;2011年05期

5 李时惠;;一种增强的基于威胁度的沙箱框架设计[J];计算技术与自动化;2006年03期

6 汉江边;;有沙箱保护,有毒软件我不怕[J];网友世界;2011年07期

7 杨会军;用上所有的力量[J];青少年科学探索;2004年08期

8 余华志;Java类装载器浅析[J];今日电子;1998年04期

9 程香鹏;陈莉君;;基于LSM的沙箱模块设计与实现[J];计算机与数字工程;2014年08期

10 彭晖,常乐,沈亚军;Internet环境下沙箱问题的一种解决方法[J];电脑开发与应用;2002年08期

中国重要会议论文全文数据库 前1条

1 周念丽;方俊明;;运用沙箱游戏评量ASD儿童社会认知能力之探索[A];第十二届全国心理学学术大会论文摘要集[C];2009年

中国重要报纸全文数据库 前3条

1 岑义　编译;“沙箱”技术领域不存在万灵药[N];网络世界;2013年

2 本报驻美特约记者 杜林 本报记者 程彦博;道与法[N];中国计算机报;2014年

3 张莹;360发布安全浏览器 5000百科用户首批体验[N];中国新闻出版报;2008年

中国硕士学位论文全文数据库 前6条

1 陈燕红;基于沙箱的木马检测技术研究与实现[D];广东工业大学;2016年

2 张灿岩;用于恶意代码检测的沙箱技术研究[D];哈尔滨工程大学;2013年

3 徐传印;基于安全云架构的虚拟沙箱的设计与实现[D];华中科技大学;2013年

4 赵广强;基于虚拟化的沙箱防御技术的研究与实现[D];广东工业大学;2015年

5 吴旭;基于沙箱技术的网络虚拟化实现[D];华中科技大学;2012年

6 姜辉;基于虚拟化技术的恶意代码行为分析系统的研究与实现[D];济南大学;2012年

，

本文编号：927491