基于VMware虚拟机的恶意程序仿真检测平台设计与实现

发布时间：2017-09-15 06:48

  本文关键词：基于VMware虚拟机的恶意程序仿真检测平台设计与实现

  更多相关文章： 恶意程序 动态仿真 启发式 虚拟机 行为检测

【摘要】：目前在恶意程序检测领域,基于特征码的病毒检测技术依然占据主要地位,但随着黑客技术的盛行,世界范围内的恶意程序总量大幅增长,特征码检测技术需要先收集样本,才能提取特征,然而随着恶意程序数量的增长,分析提取工作也随之膨胀,且特征码检测技术的被动响应模式永远滞后于病毒发作。动态仿真恶意程序检测技术不依赖被动更新与响应的特征库,它通过分析程序动态行为,分析其恶意性,因此可以克服特征码查杀技术滞后的缺点。由于动态仿真所考察的是被检测文件实际运行时的行为,因此在判断上更准确,并可以有效的获取恶意程序的具体破坏行为。沙箱是目前杀软广泛使用的一种动态仿真技术,但由于沙箱自身只能简单模拟部分CPU指令与基本运行环境,很多情况下无法准确的得到可疑文件的行为,因此很难获得较高的查杀率。针对沙箱技术的仿真能力不足,结合硬件虚拟化技术,本文设计了一种基于虚拟机来模拟真实环境,以实现对恶意程序进行完整仿真的方法,并提出了一种基于同行为概率差的权值算法,对恶意行为的权值进行定解,以实现对可疑程序的性质分析与判断。主要完成了以下工作:首先,本文通过样本分析与文献研究,详细提取与归纳了当前流行的恶意程序的行为特征,并对恶意程序的关键行为进行了归类,并对其特点进行了总结。其次,本文分析了几种经典的恶意程序判定算法,包括基于权值线性叠加的判定算法、基于Bayes先验判断的判定算法与基于SVM支持向量机的判定算法等,并归纳了几种算法的特点。再次,针对传统判定算法的不足,利用双样本空间的行为概率差,提出了一种基于双样本概率差的行为加权算法,并用该算法对基于线性叠加的恶意程序判定模型进行了改良。最后,针对恶意程序的行为特征,实现了对应的行为检测模块,结合虚拟化技术以及改良的判定模型,设计并实现了一套基于虚拟机的恶意程序仿真检测系统,并对系统的整体性能进行了样本测试。
【关键词】：恶意程序 动态仿真 启发式 虚拟机 行为检测
【学位授予单位】：电子科技大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP302
，

本文编号：854950