惡意代碼動態(tài)分析技術(shù)的研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展和信息時代的到來，通過互聯(lián)網(wǎng)傳播和共享信息資源已經(jīng)成為人們的首選，然而，網(wǎng)絡(luò)的開放性和靈活性在給人們帶來便利的同時也引入了各式各樣的安全問題。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT2008上半年的調(diào)查報告顯示，各種網(wǎng)絡(luò)安全事件數(shù)量與2007年上半年同期相比有較為顯著的增加。在諸多的網(wǎng)絡(luò)威脅中，惡意代碼所占的比例和危害程度最大，國內(nèi)外針對惡意代碼的研究和防治工作也從各方面展開。 本文首先詳細(xì)了解和總結(jié)惡意代碼的實(shí)現(xiàn)

2、機(jī)理和生存技能，在比較分析惡意代碼現(xiàn)有分析技術(shù)和檢測方法的基礎(chǔ)上提出一種基于系統(tǒng)調(diào)用行為和參數(shù)分析的動態(tài)分析技術(shù)，然后深入調(diào)查惡意行為的共性特征并進(jìn)行特征提取和規(guī)則建模，構(gòu)建惡意行為規(guī)則庫，最后具體實(shí)現(xiàn)惡意代碼動態(tài)分析系統(tǒng)，并給出實(shí)驗(yàn)結(jié)果。 本文的主要工作體現(xiàn)如下： (1)總結(jié)研究惡意代碼的實(shí)現(xiàn)機(jī)理、攻擊技術(shù)和生存技能； (2)分析現(xiàn)有惡意代碼分析技術(shù)和檢測方法，并比較它們的優(yōu)缺點(diǎn)； (3)收集大量樣本程

3、序并加以訓(xùn)練，調(diào)查惡意代碼行為共性，提取行為特征，構(gòu)建惡意行為規(guī)則庫。 (4)提出一種基于系統(tǒng)調(diào)用行為和參數(shù)分析的動態(tài)分析技術(shù)，實(shí)現(xiàn)惡意代碼動態(tài)分析原型系統(tǒng)。 本文以正常程序、病毒、蠕蟲、木馬、間諜軟件等作為樣本對動態(tài)分析系統(tǒng)原型進(jìn)行了功能和性能測試。實(shí)驗(yàn)結(jié)果表明，惡意代碼動態(tài)分析系統(tǒng)能夠成功識別出程序中的惡意行為，系統(tǒng)開銷小，具有很高的檢測效率；此外，分析系統(tǒng)還具備有通用調(diào)試器的反匯編和動態(tài)調(diào)試，能夠動態(tài)追蹤和調(diào)試具有