基于行為特征分析的惡意代碼檢測系統(tǒng)研究與實現(xiàn).pdf

1、目前病毒、木馬、后門程序等惡意代碼技術(shù)飛速發(fā)展,重大經(jīng)濟(jì)損失事件及重要泄密事件頻頻發(fā)生。傳統(tǒng)的檢測技術(shù)針對未知惡意代碼的檢測效果較差,因此針對二進(jìn)制代碼的行為深入分析,挖掘正常軟件與惡意軟件行為特征的細(xì)微區(qū)別正是目前網(wǎng)絡(luò)安全的迫切需要。
　　本文通過對目前互聯(lián)網(wǎng)中出現(xiàn)的著名惡意代碼(如:鬼影、機(jī)器狗、Darkshell等)進(jìn)行深入調(diào)試分析及對比研究,發(fā)現(xiàn)惡意代碼的行為特征;然后通過分析應(yīng)用程序IAT結(jié)構(gòu)、API Hook技術(shù)、差異

2、性檢測方法、通知例程檢測方法等多種技術(shù)手段,研究針對惡意代碼的自動分析方法,并選定API調(diào)用序列作為行為特征主要研究依據(jù);在針對惡意代碼進(jìn)行分析的過程中往往會遇到 Rootkit病毒,使得分析無法進(jìn)行,因此分析了Rootkit木馬的實現(xiàn)原理及檢測手段,并針對IAT鉤子、EAT鉤子、IDT鉤子及 SSDT鉤子進(jìn)行重點(diǎn)論述;最后本文針對原始攻擊樹模型、改進(jìn)攻擊樹模型、擴(kuò)展攻擊樹模型等進(jìn)行了分析比較,提出了基于賦權(quán)特征向量的改進(jìn)攻擊樹模型,在

3、此模型中利用賦權(quán)特征向量的概念將惡意行為進(jìn)行分類。
　　基于賦權(quán)特征向量的改進(jìn)攻擊樹模型,設(shè)計并實現(xiàn)一種主動檢測系統(tǒng)原型。該原型對惡意代碼的行為特征進(jìn)行數(shù)學(xué)建模,綜合惡意代碼的 API調(diào)用序列,功能性行為特征、隱藏性行為特征、Rootkit行為特征等作為判別依據(jù),并給出詳細(xì)的分析報告及關(guān)鍵行為記錄,方便對惡意代碼的手動查殺及深入分析。實驗表明,本方法能夠有效地檢測已知或未知的惡意代碼,針對利用花指令、加殼、多態(tài)變形等反檢測技術(shù)的惡