基于虛擬化的惡意代碼檢測技術(shù)研究與實(shí)現(xiàn).pdf

1、互聯(lián)網(wǎng)技術(shù)的快速發(fā)展及其在各行業(yè)的廣泛應(yīng)用，給人們帶來便利的同時也帶來巨大安全隱患，近年來隨著震網(wǎng)、火焰等重大網(wǎng)絡(luò)安全事件曝光，信息安全越來越受到重視，國家已把信息安全上升到國家安全戰(zhàn)略層的高度。在信息安全領(lǐng)域中，惡意代碼威脅程度最大，并向長期隱蔽性、高度針對性和較高攻擊技巧等特點(diǎn)發(fā)展，已然成為信息安全領(lǐng)域中研究的熱點(diǎn)，因此研究惡意代碼檢測技術(shù)在信息安全領(lǐng)域具有十分重要的意義。本文主要研究的是基于行為的惡意代碼檢測技術(shù)，目標(biāo)為構(gòu)建一個能

2、對惡意代碼進(jìn)行行為監(jiān)控和檢測分類的自動化系統(tǒng)。
　　本文主要工作有:
　　(1)對當(dāng)前主流的惡意代碼技術(shù)進(jìn)行分析研究，歸納總結(jié)了惡意代碼的行為特征，基于Windows內(nèi)核安全技術(shù)，研究在內(nèi)核層實(shí)現(xiàn)對惡意代碼行為的監(jiān)控技術(shù)。
　　(2)研究虛擬化技術(shù)以避免在檢測過程中惡意代碼破壞或泄露系統(tǒng)資源，對于文件資源采用內(nèi)核級鉤子技術(shù)實(shí)現(xiàn)虛擬化，對于網(wǎng)絡(luò)資源通過添加設(shè)備驅(qū)動對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行過濾從而實(shí)現(xiàn)虛擬化。
　　(3)在

3、分析目前隱藏進(jìn)程檢測技術(shù)存在不足的基礎(chǔ)上，本文提出了一種改進(jìn)的隱藏進(jìn)程檢測技術(shù)，該技術(shù)能有效檢測出操作系統(tǒng)中的隱藏進(jìn)程，進(jìn)而用于檢測惡意代碼進(jìn)程的隱藏屬性。
　　(4)采用層次分析法(AHP)對代碼進(jìn)行惡意性檢測，建立基于AHP的惡意代碼評估模型。在此基礎(chǔ)上，用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行改進(jìn)，實(shí)現(xiàn)對惡意代碼評估結(jié)果進(jìn)行種類細(xì)分，具體可分為病毒、木馬、蠕蟲和其它四類，提出一種改進(jìn)的基于AHP的BP神經(jīng)網(wǎng)絡(luò)惡意代碼分類方法，并通過實(shí)驗(yàn)證明該方法

4、的有效性。
　　(5)根據(jù)基于行為的惡意代碼檢測方法設(shè)計并實(shí)現(xiàn)了基于虛擬化技術(shù)的惡意代碼檢測系統(tǒng)，實(shí)驗(yàn)結(jié)果表明該系統(tǒng)能有效地監(jiān)控到運(yùn)行在操作系統(tǒng)中惡意代碼的行為并做出判斷。
　　本文創(chuàng)新點(diǎn)主要體現(xiàn)在以下幾個方面:
　　(1)在研究幾種隱藏進(jìn)程檢測技術(shù)的基礎(chǔ)之上，提出了一種改進(jìn)的隱藏進(jìn)程檢測技術(shù)，能有效地檢測出操作系統(tǒng)中隱藏進(jìn)程，用于檢測惡意代碼的進(jìn)程隱藏屬性。
　　(2)提出一種改進(jìn)的基于AHP的BP神經(jīng)網(wǎng)絡(luò)惡意