基于行为特征分析的恶意代码检测系统研究与实现

摘要

目前病毒、木马、后门程序等恶意代码技术飞速发展,重大经济损失事件及重要泄密事件频频发生。传统的检测技术针对未知恶意代码的检测效果较差,因此针对二进制代码的行为深入分析,挖掘正常软件与恶意软件行为特征的细微区别正是目前网络安全的迫切需要。
　　本文通过对目前互联网中出现的著名恶意代码(如:鬼影、机器狗、Darkshell等)进行深入调试分析及对比研究,发现恶意代码的行为特征;然后通过分析应用程序IAT结构、API Hook技术、差异性检测方法、通知例程检测方法等多种技术手段,研究针对恶意代码的自动分析方法,并选定API调用序列作为行为特征主要研究依据;在针对恶意代码进行分析的过程中往往会遇到 Rootkit病毒,使得分析无法进行,因此分析了Rootkit木马的实现原理及检测手段,并针对IAT钩子、EAT钩子、IDT钩子及 SSDT钩子进行重点论述;最后本文针对原始攻击树模型、改进攻击树模型、扩展攻击树模型等进行了分析比较,提出了基于赋权特征向量的改进攻击树模型,在此模型中利用赋权特征向量的概念将恶意行为进行分类。
　　基于赋权特征向量的改进攻击树模型,设计并实现一种主动检测系统原型。该原型对恶意代码的行为特征进行数学建模,综合恶意代码的 API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,并给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明,本方法能够有效地检测已知或未知的恶意代码,针对利用花指令、加壳、多态变形等反检测技术的恶意代码也能进行有效的检测,在恶意软件的主动识别方面有较大的应用价值。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景

1.2 研究目的和意义

1.3 课题国内外研究现状

1.4 论文研究工作

1.5 论文组织结构

第二章 恶意代码及相关技术介绍

2.1 恶意代码的种类及特点介绍

2.2 恶意代码的检测方法

2.3 恶意代码的反检测技术

2.4 针对病毒反检测技术的检测方式

2.5 本章小结

第三章 基于行为特征的恶意代码检测技术研究

3.1恶意代码特征分析

3.2 恶意软件自动分析技术研究

3.3 Rootkit技术研究

3.4 基于赋权特征向量的改进攻击树模型恶意代码分析方法

3.5本章小节

第四章 恶意代码检测系统的设计与实现

4.1 设计目标

4.2 框架设计

4.3行为检测模块设计实现

4.4 Rootkit检测模块设计实现

4.5 裁判系统设计实现

4.6 数据库设计实现

4.7 本章小结

第五章 恶意代码检测系统测试

5.1 测试环境

5.2 模块单元测试

5.3 系统集成测试

5.4 对比测试

5.5 本章小结

第六章 总结与展望

6.1 论文工作总结

6.2 后续研究工作

致谢

参考文献

攻硕期间取得的成果