基于虛擬化技術(shù)的惡意代碼行為分析系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、近年來(lái)，隨著互聯(lián)網(wǎng)規(guī)模和用戶量的不斷增加，新的應(yīng)用和商業(yè)模式也在互聯(lián)網(wǎng)上不斷涌現(xiàn)。同時(shí)針對(duì)互聯(lián)網(wǎng)的攻擊日益增多，互聯(lián)網(wǎng)上傳播的惡意代碼種類和數(shù)量逐漸攀升，惡意代碼自保護(hù)能力不斷增強(qiáng)。不斷擴(kuò)大的安全威脅不僅使用戶蒙受巨大的經(jīng)濟(jì)損失，也使得國(guó)家面臨前所未有的信息安全問(wèn)題。減輕或消除這些安全威脅，依賴于安全人員對(duì)惡意代碼的快速、有效分析，通過(guò)提取惡意代碼的指紋特征和行為特征，防御惡意代碼的攻擊。
　　 惡意代碼數(shù)量不斷攀升，自我保護(hù)能

2、力增強(qiáng)，迫切的需要一種快速有效的惡意代碼分析系統(tǒng)。惡意代碼靜態(tài)分析方法能夠獲取惡意代碼運(yùn)行的多條路徑，但其因分析效率低，分析過(guò)程復(fù)雜，惡意代碼反靜態(tài)分析技術(shù)更加成熟等因素限制，使其不能滿足有效分析海量惡意樣本需求。因此當(dāng)前惡意代碼分析主要采用動(dòng)態(tài)行為分析方法，通過(guò)實(shí)際運(yùn)行惡意代碼，提取其運(yùn)行過(guò)程中行為。動(dòng)態(tài)行為分析方法并不受反反匯編，加殼等反分析技術(shù)的影響。當(dāng)前基于系統(tǒng)虛擬機(jī)的惡意代碼行為分析系統(tǒng)雖能夠自動(dòng)化分析惡意代碼行為，但只支持單

3、任務(wù)分析、系統(tǒng)還原時(shí)間過(guò)長(zhǎng)，依然不能滿足海量惡意樣本的分析需求。同時(shí)受限于虛擬機(jī)實(shí)現(xiàn)方式，容易被反虛擬化的惡意代碼逃避分析；而基于沙箱的行為分析系統(tǒng)雖然具備快速的惡意代碼行為分析能力，但由于其特權(quán)級(jí)較低且與惡意代碼共存于同一個(gè)操作系統(tǒng)中，因此不能有效分析反跟蹤、反虛擬化技術(shù)的惡意代碼。即使伴隨硬件輔助虛擬化技術(shù)的出現(xiàn)，提升了分析系統(tǒng)的透明性，但依然不能滿足海量樣本的分析需求。
　　 本文通過(guò)對(duì)現(xiàn)有惡意代碼行為分析技術(shù)和系統(tǒng)的研究

4、，提出一種滿足海量樣本分析能力并同時(shí)保證分析系統(tǒng)透明性的惡意代碼行為分析方法。本方法中使用了輕量級(jí)的虛擬機(jī)沙箱技術(shù)，沙箱能夠快速還原分析環(huán)境與并行分析惡意樣本。但沙箱技術(shù)存在透明性不足的問(wèn)題，為了提高系統(tǒng)整體的透明性，該方法利用硬件輔助虛擬化技術(shù)分析惡意代碼彌補(bǔ)沙箱透明性存在的不足。為了驗(yàn)證該方法的有效性，本文設(shè)計(jì)并實(shí)現(xiàn)了基于該方法的惡意代碼行為分析系統(tǒng)，該系統(tǒng)綜合了沙箱分析速度快和硬件輔助虛擬化技術(shù)透明性高的優(yōu)勢(shì)，同時(shí)能夠自動(dòng)收集、分