惡意代碼的行為分析.pdf

1、惡意代碼（如病毒、僵尸網(wǎng)絡(luò)、木馬、蠕蟲、Rootkit）的爆發(fā)式增長(zhǎng)嚴(yán)重威脅著信息系統(tǒng)安全。盡管常用的惡意代碼檢測(cè)技術(shù)，比如基于異常的惡意代碼檢測(cè)，可以檢測(cè)識(shí)別出部分惡意代碼，但是始終存在缺陷與不足。因此，研究惡意代碼分析檢測(cè)技術(shù)意義重大。
　　本文對(duì)惡意代碼的定義、種類以及特征進(jìn)行了概括。詳細(xì)討論了常用的惡意行為監(jiān)視方法及其各自的缺點(diǎn)與不足。在這基礎(chǔ)上，基于硬件輔助虛擬化特性提出一種改進(jìn)的惡意代碼行為監(jiān)視方法。這種方法監(jiān)視系統(tǒng)事

2、件獲取代碼的行為特征，它以較低的性能開(kāi)銷實(shí)現(xiàn)惡意代碼透明行為監(jiān)視。
　　對(duì)于惡意代碼分析，靜態(tài)分析不能檢測(cè)未知惡意代碼和變體攻擊，動(dòng)態(tài)分析占用系統(tǒng)資源多而且誤報(bào)率高。論文提出一種基于綜合行為特征的惡意代碼分析方法，主要提取代碼的關(guān)聯(lián)行為特征、系統(tǒng)調(diào)用序列特征和函數(shù)調(diào)用特征，并且綜合這些行為特征利用加權(quán)投票算法判定代碼是否為惡意代碼。
　　本文研究惡意代碼的透明行為監(jiān)視、行為特征分析和虛擬化技術(shù)，實(shí)現(xiàn)了基于綜合行為特征分析的惡