基于启发式的病毒检测技术研究

摘要

计算机及互联网科学技术的进步，对各个领域的促动极大，由计算机安全引发的问题，越来越引起人们的强烈关注。计算机病毒是计算机安全问题的重大隐患。Windows系列操作系统在用户中占有很大比例，因此传播广泛且最为猖獗的计算机病毒多数是基于PE文件格式的Windows病毒。
　　计算机病毒的严重危害促进了病毒检测技术的发展。传统的特征码检测技术室最广泛应用的病毒检测技术，其特点是准确率但是依赖于病毒特征库。病毒库中保存的病毒的特征码，特征码的获取不仅周期较长而且耗费大量的人力物力，通常在病毒发作一段时间后才能发挥作用，因此不具有检测未知病毒的能力。为了应对未知病毒，减少未知病毒的危害，研究新的病毒检测技术迫在眉睫。
　　本文首先研究了计算机病毒的机理以及防病毒理论，然后研究了主流的病毒检测技术：特征码检测技术、校验和法、行为检测技术和人工免疫技术等。本文重点研究了PE文件类病毒，详细地分析了PE病毒结构，以及PE病毒采用的各种攻击技术：如变量地址定位技术、API地址获取技术、加密和多态等自修改代码技术等。本文还研究了虚拟化技术应对采用高级技术的病毒。最后，通过实验验证，证明了本文所提出的启发式病毒检测模型的可行性。实验结果表明该方法有较高的检测效率，在检测未知病毒方面有较低的误报率和漏报率。基于启发式特征的启发式检测模型能在启发式特征库未更新的前提下检测未知病毒，提高反病毒产品的检测效率，有一定的科研参考价值。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1.1 研究的背景和意义

1.2 国内外研究现状

1.3 论文的研究内容

1.4 论文的组织结构

第2章 计算机病毒相关原理

2.1 计算机病毒原理介绍

2.2 计算机病毒的分类

2.3 主流的病毒检测技术

2.4 本章小结

第3章 基于启发式的病毒检测方法研究

3.1 PE文件结构

3.2 PE病毒原理研究

3.3 PE 病毒采用的高级技术

3.4 虚拟化技术应对高级病毒

3.5 Windows文件系统过滤驱动

3.6 PE启发式特征提取

3.7 本章小结

第4章 启发式病毒检测的设计与实现

4.1 启发式检测模型的体系结构

4.2 静态启发式检测模型的设计和实现

4.3 动态启发式检测模型的设计和实现

4.4 本章小结

第5章 实验与结果分析

5.1 实验环境

5.2 实验方案

5.3 实验结果分析

5.4 本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢