基于行為特征分析的惡意代碼檢測(cè)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、目前病毒、木馬、后門程序等惡意代碼技術(shù)飛速發(fā)展,重大經(jīng)濟(jì)損失事件及重要泄密事件頻頻發(fā)生。傳統(tǒng)的檢測(cè)技術(shù)針對(duì)未知惡意代碼的檢測(cè)效果較差,因此針對(duì)二進(jìn)制代碼的行為深入分析,挖掘正常軟件與惡意軟件行為特征的細(xì)微區(qū)別正是目前網(wǎng)絡(luò)安全的迫切需要。
　　本文通過對(duì)目前互聯(lián)網(wǎng)中出現(xiàn)的著名惡意代碼(如:鬼影、機(jī)器狗、Darkshell等)進(jìn)行深入調(diào)試分析及對(duì)比研究,發(fā)現(xiàn)惡意代碼的行為特征;然后通過分析應(yīng)用程序IAT結(jié)構(gòu)、API Hook技術(shù)、差異

2、性檢測(cè)方法、通知例程檢測(cè)方法等多種技術(shù)手段,研究針對(duì)惡意代碼的自動(dòng)分析方法,并選定API調(diào)用序列作為行為特征主要研究依據(jù);在針對(duì)惡意代碼進(jìn)行分析的過程中往往會(huì)遇到 Rootkit病毒,使得分析無法進(jìn)行,因此分析了Rootkit木馬的實(shí)現(xiàn)原理及檢測(cè)手段,并針對(duì)IAT鉤子、EAT鉤子、IDT鉤子及 SSDT鉤子進(jìn)行重點(diǎn)論述;最后本文針對(duì)原始攻擊樹模型、改進(jìn)攻擊樹模型、擴(kuò)展攻擊樹模型等進(jìn)行了分析比較,提出了基于賦權(quán)特征向量的改進(jìn)攻擊樹模型,在

3、此模型中利用賦權(quán)特征向量的概念將惡意行為進(jìn)行分類。
　　基于賦權(quán)特征向量的改進(jìn)攻擊樹模型,設(shè)計(jì)并實(shí)現(xiàn)一種主動(dòng)檢測(cè)系統(tǒng)原型。該原型對(duì)惡意代碼的行為特征進(jìn)行數(shù)學(xué)建模,綜合惡意代碼的 API調(diào)用序列,功能性行為特征、隱藏性行為特征、Rootkit行為特征等作為判別依據(jù),并給出詳細(xì)的分析報(bào)告及關(guān)鍵行為記錄,方便對(duì)惡意代碼的手動(dòng)查殺及深入分析。實(shí)驗(yàn)表明,本方法能夠有效地檢測(cè)已知或未知的惡意代碼,針對(duì)利用花指令、加殼、多態(tài)變形等反檢測(cè)技術(shù)的惡