基于QEMU的惡意程序行為檢測研究.pdf

1、互聯(lián)網(wǎng)技術(shù)給人們的生活各個方面提供巨大便利，但另一方面也為惡意程序的產(chǎn)生和傳播提供了方便，給信息系統(tǒng)造成嚴重的安全威脅。隨著計算機系統(tǒng)虛擬化技術(shù)的發(fā)展，虛擬機（Virtual Machine，VM）的應(yīng)用領(lǐng)域愈加廣泛，利用虛擬機對惡意程序的檢測技術(shù)已經(jīng)成為當前的研究熱點之一。
　　本文基于虛擬機監(jiān)視器研究程序行為的分析及檢測技術(shù)。通過虛擬機監(jiān)視器，獲取程序運行時的虛擬機系統(tǒng)底層信息，從計算機系統(tǒng)資源域的角度綜合分析程序行為，以此為

2、基礎(chǔ)檢測惡意程序行為。本文首先分析 QEMU及其相關(guān)技術(shù)，以及程序行為檢測方法。其次本文研究基于QEMU的程序行為檢測模型：基于QEMU對程序運行時的系統(tǒng)內(nèi)存、內(nèi)核基本事件、磁盤文件和網(wǎng)絡(luò)信息等數(shù)據(jù)信息進行捕獲并重構(gòu)；采用C4.5算法建立決策樹的方式對捕獲及重構(gòu)到的數(shù)據(jù)分析，以此判定程序是否存在惡意行為?；谠撃Ｐ?，本文最后設(shè)計與實現(xiàn)出對應(yīng)的程序行為檢測系統(tǒng)，并將其用于實際的程序行為檢測。檢測結(jié)果表明所提出的檢測模型以及相應(yīng)的檢測系統(tǒng)能