惡意代碼動(dòng)態(tài)分析技術(shù)的研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展和信息時(shí)代的到來(lái)，通過(guò)互聯(lián)網(wǎng)傳播和共享信息資源已經(jīng)成為人們的首選，然而，網(wǎng)絡(luò)的開(kāi)放性和靈活性在給人們帶來(lái)便利的同時(shí)也引入了各式各樣的安全問(wèn)題。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT2008上半年的調(diào)查報(bào)告顯示，各種網(wǎng)絡(luò)安全事件數(shù)量與2007年上半年同期相比有較為顯著的增加。在諸多的網(wǎng)絡(luò)威脅中，惡意代碼所占的比例和危害程度最大，國(guó)內(nèi)外針對(duì)惡意代碼的研究和防治工作也從各方面展開(kāi)。 本文首先詳細(xì)了解和總結(jié)惡意代碼的實(shí)現(xiàn)

2、機(jī)理和生存技能，在比較分析惡意代碼現(xiàn)有分析技術(shù)和檢測(cè)方法的基礎(chǔ)上提出一種基于系統(tǒng)調(diào)用行為和參數(shù)分析的動(dòng)態(tài)分析技術(shù)，然后深入調(diào)查惡意行為的共性特征并進(jìn)行特征提取和規(guī)則建模，構(gòu)建惡意行為規(guī)則庫(kù)，最后具體實(shí)現(xiàn)惡意代碼動(dòng)態(tài)分析系統(tǒng)，并給出實(shí)驗(yàn)結(jié)果。 本文的主要工作體現(xiàn)如下： (1)總結(jié)研究惡意代碼的實(shí)現(xiàn)機(jī)理、攻擊技術(shù)和生存技能； (2)分析現(xiàn)有惡意代碼分析技術(shù)和檢測(cè)方法，并比較它們的優(yōu)缺點(diǎn)； (3)收集大量樣本程

3、序并加以訓(xùn)練，調(diào)查惡意代碼行為共性，提取行為特征，構(gòu)建惡意行為規(guī)則庫(kù)。 (4)提出一種基于系統(tǒng)調(diào)用行為和參數(shù)分析的動(dòng)態(tài)分析技術(shù)，實(shí)現(xiàn)惡意代碼動(dòng)態(tài)分析原型系統(tǒng)。 本文以正常程序、病毒、蠕蟲(chóng)、木馬、間諜軟件等作為樣本對(duì)動(dòng)態(tài)分析系統(tǒng)原型進(jìn)行了功能和性能測(cè)試。實(shí)驗(yàn)結(jié)果表明，惡意代碼動(dòng)態(tài)分析系統(tǒng)能夠成功識(shí)別出程序中的惡意行為，系統(tǒng)開(kāi)銷(xiāo)小，具有很高的檢測(cè)效率；此外，分析系統(tǒng)還具備有通用調(diào)試器的反匯編和動(dòng)態(tài)調(diào)試，能夠動(dòng)態(tài)追蹤和調(diào)試具有