基于內(nèi)核級API的惡意軟件行為檢測與分析.pdf

1、隨著惡意軟件數(shù)量的飛速增長，當下信息安全已經(jīng)是互聯(lián)網(wǎng)必須面對的問題。大型網(wǎng)絡安全事件如火焰、震網(wǎng)等頻頻發(fā)生并大量曝光，在信息安全各類威脅中，惡意代碼由于其較高的針對性，并且長期潛伏，具有高攻擊技巧等特點，已經(jīng)成為如今信息安全最大威脅。于是，亟需一種高準確性的惡意軟件分析技術對惡意代碼進行分析。
　　首先，分析研究了惡意代碼相關特征和已有惡意代碼檢測技術，發(fā)現(xiàn)了各類別分析檢測方法中存在對未知惡意代碼無法檢測、檢測結果準確性低的問題。

2、
　　其次，總結各類Windows下API函數(shù)與行為分析特征，并對行為特征完成分類，在這個基礎上，提出了基于內(nèi)核級API行為分析的惡意代碼檢測方法。通過監(jiān)控系統(tǒng)API調(diào)用及內(nèi)核重要數(shù)據(jù)來獲取相關可執(zhí)行代碼的行為，基于內(nèi)核級API檢測技術，抽象出由目標層，準則層，實施層的惡意軟件檢測模型。在目標層中完成惡意代碼的整體檢測與信息匯總，在準則層，通過對惡意軟件行為的分析與分類，將準則層分為，文件行為，注冊表行為，進程行為，網(wǎng)絡行為四個部

3、分。在實施層完成具體的詳細功能檢測，并將結果信息傳入準則層，再由準則層向上發(fā)至目標層。
　　最后，在以上模型基礎上，實現(xiàn)了惡意行為檢測系統(tǒng)。通過子模塊的詳細設計，由內(nèi)核層模塊系統(tǒng)、判斷相關子系統(tǒng)和系統(tǒng)界面三部分組成，完成相關子模塊的詳細設計。其中內(nèi)核層模塊系統(tǒng)包括文件行為檢測模塊、進程行為檢測模塊、注冊表行為檢測模塊、網(wǎng)絡行為檢測模塊及內(nèi)核行為檢測模塊五個模塊。實現(xiàn)了對多種內(nèi)核級代碼隱藏行為、DLL鏈接庫、APC注入等惡意行為的檢