基于行為分析的惡意代碼識(shí)別系統(tǒng)研究與實(shí)現(xiàn).pdf

1、互聯(lián)網(wǎng)的安全問(wèn)題已經(jīng)成為人們正常生活中的一大威脅。特別是惡意代碼,每年由于惡意代碼而造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。由于新的惡意代碼出現(xiàn)的速度越來(lái)越快,傳統(tǒng)的基于特征碼的靜態(tài)檢測(cè)技術(shù)很難發(fā)現(xiàn)未知惡意代碼,而基于行為檢測(cè)的惡意代碼檢測(cè)技術(shù)則可以有效的檢測(cè)出未知惡意代碼,因此,開(kāi)展惡意代碼相關(guān)研究具有重要的理論和現(xiàn)實(shí)意義。
　　 開(kāi)發(fā)惡意代碼行為分析系統(tǒng)能夠同實(shí)驗(yàn)室已有的蜜網(wǎng)系統(tǒng)結(jié)合起來(lái),彌補(bǔ)蜜網(wǎng)無(wú)法識(shí)別惡意代碼的不足之處,增強(qiáng)蜜網(wǎng)的

2、功能,實(shí)現(xiàn)捕獲和識(shí)別的全自動(dòng)和無(wú)監(jiān)管。
　　 本文的主要工作如下:
　　 (1)本文使用了基于調(diào)試器技術(shù)的行為獲取技術(shù),實(shí)現(xiàn)了對(duì)樣本行為的準(zhǔn)確獲取。通過(guò)在虛擬機(jī)中使用調(diào)試器技術(shù)能夠準(zhǔn)確的獲取樣本的行為。在虛擬機(jī)中運(yùn)行行為監(jiān)控模塊能夠保證物理主機(jī)的安全而不用擔(dān)心會(huì)被感染病毒,并獲得詳細(xì)和完整的行為監(jiān)控報(bào)告。
　　 (2)本文使用了基于信息增益的特征權(quán)重調(diào)整算法選取關(guān)聯(lián)度較高的行為,使用了樸素貝葉斯算法實(shí)現(xiàn)對(duì)樣本性質(zhì)

3、的識(shí)別。本文將樸素貝葉斯算法和基于信息增益的特征權(quán)重調(diào)整算法結(jié)合起來(lái),對(duì)已分類(lèi)樣本進(jìn)行訓(xùn)練,建立行為特征庫(kù),使用權(quán)重調(diào)整算法選取有效的行為作為特征,通過(guò)樸素貝葉斯算法進(jìn)行數(shù)據(jù)挖掘來(lái)識(shí)別惡意代碼。
　　 (3)運(yùn)用虛擬機(jī)的自動(dòng)化技術(shù)實(shí)現(xiàn)不問(wèn)斷的自動(dòng)化獲取樣本行為。通過(guò)使用Vmware的VIX API使得獲取樣本行為時(shí)不需要人工操作,實(shí)現(xiàn)自動(dòng)操作虛擬機(jī),自動(dòng)獲取樣本行為和自動(dòng)獲得行為監(jiān)控報(bào)告的能力。
　　 通過(guò)在實(shí)際環(huán)境中的