主機(jī)惡意代碼檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、主機(jī)惡意代碼檢測系統(tǒng)是運行在主機(jī)上，檢測該計算機(jī)中是否存在惡意代碼的智能系統(tǒng)，是維護(hù)計算機(jī)安全極為重要的安全軟件。隨著國家、社會對計算機(jī)的依賴程度日益增長，計算機(jī)安全問題就顯得日益嚴(yán)峻起來。傳統(tǒng)的惡意代碼檢測如反病毒廠商的殺毒產(chǎn)品，主要是基于特征碼掃描的檢測技術(shù)。特征碼掃描檢測技術(shù)需要預(yù)先從已知的惡意代碼中提取出特征字節(jié)序列存入病毒庫，之后再利用匹配算法進(jìn)行檢測。這種方法的明顯缺點在于需要預(yù)建特征庫，而特征庫更新顯然是滯后于惡意代碼的，

2、因此它對未知惡意代碼的檢測能力極弱，對加殼變形后的惡意代碼處理能力也十分有限。
　　 本文致力于從惡意代碼的行為上去識別檢測，這是由于惡意代碼定義的關(guān)鍵點就在于其行為目的的惡意性和結(jié)果的破壞性，因此檢測的要點也就是如何識別行為的惡意性。本文主要的工作和貢獻(xiàn)可歸納為：
　　 l、對惡意代碼的工作原理進(jìn)行深入分析，總結(jié)了各類惡意代碼使用的核心技術(shù)，研究探尋目前惡意代碼反檢測的主要手段，包括應(yīng)用層面和內(nèi)核層面惡意代碼的反檢測技

3、術(shù)實現(xiàn)，以及BIOS固件和CPU微代碼植入技術(shù)的可行性。
　　 2、針對惡意代碼的行為特點，從多處入手研究采用多種方法捕獲檢測惡意代碼行為的方法。為惡意代碼信息捕獲模塊設(shè)計實現(xiàn)了如下有效的技術(shù)方法：
　　 (1)利用用戶態(tài)和核心態(tài)的多種鉤掛方法截取程序行為，包括新的系統(tǒng)調(diào)用攔截方案、驅(qū)動間通訊攔截方案等；利用痕跡掃描技術(shù)發(fā)現(xiàn)惡意代碼留下的包括鉤掛代碼、隱藏數(shù)據(jù)在內(nèi)的多種行為痕跡。
　　 (2)設(shè)計實現(xiàn)在CPU硬件

4、支持(單步執(zhí)行功能支持和最后分支記錄功能支持)的輔助下，動態(tài)記錄程序控制流路徑的方法。
　　 (3)針對惡意代碼修改破壞內(nèi)存中的操作系統(tǒng)組件來反檢測、反清除的手段，創(chuàng)新性的提出利用虛擬化技術(shù)在操作系統(tǒng)中創(chuàng)造一個虛擬的、干凈的系統(tǒng)環(huán)境，使易受惡意代碼破壞的系統(tǒng)組件在另一個環(huán)境安全工作。該方案工作效果明顯。
　　 (4)為了捕獲一些難以截取或常受惡意代碼干擾的行為，本文分析CPU硬件虛擬化支持的原理，并提出了基于CPU硬件虛

5、擬化支持(AMD的SVM與Intel的VMX)的行為收集方案。
　　 3、提出一種基于隱馬爾可夫模型(HMM)的操作系統(tǒng)環(huán)境模型，利用多種手段截獲收集的行為數(shù)據(jù)作為模型觀測值來計算被植入rootkit的可疑值，經(jīng)實驗表明對rootkit類惡意代碼有較好的檢測效果。同時對收集到的動態(tài)控制流路徑數(shù)據(jù)，提出了首先建立調(diào)用層次樹，再利用計算編輯距離判斷相似度的方式檢測隱藏性惡意代碼，實驗也取得了良好的結(jié)果。
　　 4、主持設(shè)計了