基于行為分析的惡意代碼識別系統(tǒng)研究與實現(xiàn).pdf

1、互聯(lián)網(wǎng)的安全問題已經(jīng)成為人們正常生活中的一大威脅。特別是惡意代碼,每年由于惡意代碼而造成的經(jīng)濟損失高達數(shù)百億美元。由于新的惡意代碼出現(xiàn)的速度越來越快,傳統(tǒng)的基于特征碼的靜態(tài)檢測技術很難發(fā)現(xiàn)未知惡意代碼,而基于行為檢測的惡意代碼檢測技術則可以有效的檢測出未知惡意代碼,因此,開展惡意代碼相關研究具有重要的理論和現(xiàn)實意義。
　　 開發(fā)惡意代碼行為分析系統(tǒng)能夠同實驗室已有的蜜網(wǎng)系統(tǒng)結合起來,彌補蜜網(wǎng)無法識別惡意代碼的不足之處,增強蜜網(wǎng)的

2、功能,實現(xiàn)捕獲和識別的全自動和無監(jiān)管。
　　 本文的主要工作如下:
　　 (1)本文使用了基于調(diào)試器技術的行為獲取技術,實現(xiàn)了對樣本行為的準確獲取。通過在虛擬機中使用調(diào)試器技術能夠準確的獲取樣本的行為。在虛擬機中運行行為監(jiān)控模塊能夠保證物理主機的安全而不用擔心會被感染病毒,并獲得詳細和完整的行為監(jiān)控報告。
　　 (2)本文使用了基于信息增益的特征權重調(diào)整算法選取關聯(lián)度較高的行為,使用了樸素貝葉斯算法實現(xiàn)對樣本性質(zhì)

3、的識別。本文將樸素貝葉斯算法和基于信息增益的特征權重調(diào)整算法結合起來,對已分類樣本進行訓練,建立行為特征庫,使用權重調(diào)整算法選取有效的行為作為特征,通過樸素貝葉斯算法進行數(shù)據(jù)挖掘來識別惡意代碼。
　　 (3)運用虛擬機的自動化技術實現(xiàn)不問斷的自動化獲取樣本行為。通過使用Vmware的VIX API使得獲取樣本行為時不需要人工操作,實現(xiàn)自動操作虛擬機,自動獲取樣本行為和自動獲得行為監(jiān)控報告的能力。
　　 通過在實際環(huán)境中的