基于Google云的恶意代码行为分析与检测系统的设计与实现

摘要

随着计算机、智能手机以及互联网的快速发展，系统的安全问题显得越来越重要。系统安全所要面对的威胁主要是因系统自身安全机制漏洞所引发的恶意代码感染及攻击。随着恶意代码数量呈现快速爆炸式增长，传统的基于特征码的恶意代码检测系统不能很好的发现未知恶意代码，需要更加完备和有效的恶意代码检测系统。云安全是一种先进的理念，在云安全体系中通过网状的大量客户端，对网络中各终端节点异常软件行为进行监测，客户端将监测结果推送到服务端进行处理，最终服务端将恶意代码解决方案分发到每一个客户端。
　　 本文首先分析并总结了计算机及智能手机平台的恶意代码特点和分类，总结了传统的不同的恶意代码检测方式。然后本文探讨了一种基于Google云计算平台的恶意代码检测模型。利用本文提出的模型，最终设计了基于Google appengine的恶意代码行为分析与检测系统。该系统分为两大部分。第一部分是蜜罐系统。系统首先将收集到的样本文件置入蜜罐系统，运行样本文件，在蜜罐中利用内核级hook技术对程序进行行为采集。然后各蜜罐将采集到的行为序列上传到Google云应用程序中。第二部分为Google云应用程序。云应用程序接收行为序列后对可疑行为进行汇总和分析，并将结果以报表的形式呈现给请求者。本系统通过利用Google云计算技术解决了基于行为的恶意代码检测方法在实际运作中耗时长，对系统资源要求高，行为特征库难以形成规模等问题。另外本系统通过引入蜜罐思想避免了行为采集过程对实际操作系统造成的损伤。