惡意程序檢測與分類系統(tǒng)的設(shè)計與實(shí)現(xiàn).pdf

1、由于計算機(jī)網(wǎng)絡(luò)的發(fā)展以及惡意程序編碼水平的提高，傳統(tǒng)的惡意程序檢測技術(shù)的不足已經(jīng)越來越明顯，很難滿足人們對信息安全的需求。基于行為的惡意程序檢測技術(shù)是利用惡意程序的特有行為特征來檢測程序惡意性的方法，它能很好地檢測未知惡意程序。這種惡意程序檢測技術(shù)可以很好地適應(yīng)惡意程序逐漸呈現(xiàn)的新特點(diǎn)，無疑具有巨大的優(yōu)越性和廣闊的發(fā)展空間，應(yīng)該在今后相當(dāng)長時間內(nèi)代表著惡意程序檢測技術(shù)的發(fā)展趨勢。
　　本文從樣本程序的API調(diào)用信息中提取出惡意程序

2、行為特征，實(shí)現(xiàn)了一個基于行為特征的惡意程序檢測與分類系統(tǒng)。本文從系統(tǒng)的需求出發(fā)，設(shè)計了系統(tǒng)的體系結(jié)構(gòu)和各個模塊的功能接口，并對系統(tǒng)中的系統(tǒng)管理與調(diào)度模塊、預(yù)處理與靜態(tài)分析模塊、部分動態(tài)分析模塊和部分檢測分類模塊的內(nèi)容進(jìn)行了實(shí)現(xiàn)。其中系統(tǒng)管理和調(diào)度模塊負(fù)責(zé)對樣本文件的管理和樣本分析過程中各個功能模塊的調(diào)度；預(yù)處理與靜態(tài)分析模塊負(fù)責(zé)將用戶導(dǎo)入的粗糙的樣本處理成系統(tǒng)可以直接分析的樣本，并在不運(yùn)行樣本的情況下提取其靜態(tài)文件信息；動態(tài)分析模塊中使

3、用QEMU作為樣本運(yùn)行的沙盒環(huán)境，并在QEMU的虛擬機(jī)監(jiān)控層采集樣本的API調(diào)用信息，解決了傳統(tǒng)的API hook機(jī)制捕獲API的不足；檢測分類模塊中采用決策樹算法來構(gòu)建分類器，模擬了智能的決策過程并有效解決了多分類的問題。此外，本文還從軟件工程的角度對系統(tǒng)的用戶交互和數(shù)據(jù)庫進(jìn)行了規(guī)范化的設(shè)計與實(shí)現(xiàn)，并且詳細(xì)描述了數(shù)據(jù)在系統(tǒng)內(nèi)部的邏輯流向和邏輯變換過程。
　　通過大量的惡意程序樣本對系統(tǒng)進(jìn)行測試的結(jié)果表明，本系統(tǒng)具有較高的分類準(zhǔn)確