基于沙箱技術(shù)的惡意代碼行為自動化檢測方法.pdf

1、惡意代碼利用各種方法在計算機系統(tǒng)和互聯(lián)網(wǎng)中快速擴散，對網(wǎng)絡(luò)環(huán)境安全造成了威脅。任何以某種方式對用戶、計算機或者網(wǎng)絡(luò)造成破壞的軟件，都可以被認(rèn)為是惡意代碼，包括計算機病毒、木馬、蠕蟲、勒索軟件、間諜軟件等等。隨著互聯(lián)網(wǎng)越來越發(fā)達(dá)，惡意代碼的威脅也越來越受到重視。因此，研究惡意代碼的檢測技術(shù)具有重要的現(xiàn)實意義。目前的反病毒軟件使用的基于特征碼掃描技術(shù)，該技術(shù)依賴于已知的特征庫，不能檢測具有新特征的惡意代碼，隨著惡意代碼數(shù)量增多，特征庫越來越

2、龐大也成為重要的問題。
　　針對目前方法的不足，提出了一種基于沙箱技術(shù)的自動化惡意代碼行為檢測方法。該方法主要思想是利用虛擬機軟件模擬沙箱環(huán)境，整合了靜態(tài)分析方法和動態(tài)分析方法。靜態(tài)分析方法包括：利用文件熵檢測惡意代碼是否加殼，使用 ClamAV特征庫掃描惡意代碼類型等；動態(tài)分析方法包括：監(jiān)控系統(tǒng)調(diào)用，捕獲惡意代碼的運行時行為，利用現(xiàn)有的惡意行為知識庫對這些行為進行分類和分級，利用虛擬機技術(shù)獲取內(nèi)存鏡像等。然后利用上述方法實現(xiàn)了一

3、個完整的沙箱系統(tǒng)，該系統(tǒng)可以自動化的完成惡意代碼靜態(tài)和動態(tài)行為分析過程。
　　使用實現(xiàn)的沙箱系統(tǒng)檢測搜集的典型惡意代碼樣本，并對結(jié)果進行了分析。重點檢測分析了兩個典型的惡意代碼樣本 conficker和 IMworm，有效的檢測了惡意代碼的大部分惡意行為，行為檢測率分別達(dá)到了66.7％和80.0%。接著檢測搜集的44個惡意代碼樣本，通過和知名檢測系統(tǒng)文件 B超進行對比，證明該沙箱系統(tǒng)對惡意行為的整體檢測水平和文件 B超基本相當(dāng)；對