發(fā)布時(shí)間：2018-02-01 23:42

  本文關(guān)鍵詞： 內(nèi)核對象 動(dòng)態(tài)污點(diǎn)分析 公共行為圖 惡意代碼檢測　出處：《哈爾濱工業(yè)大學(xué)》2014年碩士論文　論文類型：學(xué)位論文

【摘要】：隨著互聯(lián)網(wǎng)的發(fā)展,越來越多的惡意代碼產(chǎn)生并攻擊人們的計(jì)算機(jī)系統(tǒng),影響了人們的正常生活。盡管現(xiàn)在已經(jīng)存在一些惡意代碼檢測技術(shù),但是隨著惡意代碼種類的增加以及傳播速度的提升,這些技術(shù)的檢測能力以及抗攻擊力越來越不能滿足人們的需求,因此需要提出具有更高效率以及檢測效果的惡意代碼檢測技術(shù)。目前主要有動(dòng)態(tài)以及靜態(tài)惡意代碼檢測技術(shù)這兩種類型的檢測方法。然而靜態(tài)惡意代碼檢測技術(shù)會受加殼、混淆等反分析技術(shù)影響,而動(dòng)態(tài)的檢測技術(shù)直接運(yùn)行樣本并捕獲樣本運(yùn)行時(shí)的行為,不會受這些反分析技術(shù)的影響。內(nèi)核對象是內(nèi)核中的一個(gè)內(nèi)存塊,具體地說,其是一個(gè)數(shù)據(jù)結(jié)構(gòu),并且在其中保存著和對象相關(guān)的信息。而大多數(shù)惡意樣本的主要惡意行為都是通過操控內(nèi)核對象實(shí)現(xiàn)的,所以將內(nèi)核對象引入惡意代碼檢測具有很大的意義。而現(xiàn)在的很多基于圖的檢測方法中使用的都是系統(tǒng)調(diào)用行為圖,不僅會引入一些與惡意行為無關(guān)的噪音而且對混淆技術(shù)的抵抗力較弱。本文實(shí)現(xiàn)了一種基于內(nèi)核對象的動(dòng)態(tài)惡意代碼檢測技術(shù)。具體實(shí)現(xiàn)過程如下所述:本文使用動(dòng)態(tài)污點(diǎn)分析技術(shù)監(jiān)控樣本在運(yùn)行時(shí)污點(diǎn)在各個(gè)內(nèi)核對象之間的傳播路徑,并捕獲內(nèi)核對象之間的依賴關(guān)系以及各個(gè)內(nèi)核對象的對象屬性等信息,將這些信息存入結(jié)果文件。解析結(jié)果文件并在此基礎(chǔ)上構(gòu)建內(nèi)核對象行為圖,之后使用圖聚類方法為每個(gè)惡意家族構(gòu)建一個(gè)公共行為圖,并使用圖的匹配得到相應(yīng)的檢測結(jié)果。本文方法具有較高檢測率以及較低誤報(bào)率等特點(diǎn),其檢測效果相比一些基于系統(tǒng)調(diào)用依賴圖的方法具有一定的提高。并且本文在二進(jìn)制分析平臺Bitblaze的動(dòng)態(tài)二進(jìn)制分析組件TEMU基礎(chǔ)上編寫插件實(shí)現(xiàn)了動(dòng)態(tài)污點(diǎn)分析功能,捕獲了污點(diǎn)在內(nèi)核對象之間的傳播路徑進(jìn)而獲得了內(nèi)核對象之間的依賴關(guān)系。
[Abstract]:With the development of the Internet, more and more malicious code has been generated and attacked people's computer system, which has affected people's normal life, although there are some malicious code detection techniques. However, with the increase of malicious code types and the speed of transmission, the detection ability and anti-attack ability of these technologies are more and more unable to meet the needs of people. Therefore, it is necessary to put forward malicious code detection technology with higher efficiency and detection effect. At present, there are two kinds of detection methods: dynamic and static malicious code detection technology. However, static malicious code detection technology. It's going to be hulled. Obfuscation and other back-analysis techniques, while dynamic detection techniques directly run samples and capture the behavior of the sample runtime, will not be affected by these back-analysis techniques. Kernel objects are a block of memory in the kernel. Specifically, it is a data structure in which object-related information is stored. The main malicious behavior of most malicious samples is achieved by manipulating kernel objects. So it is very important to introduce kernel object into malicious code detection. Now many graph-based detection methods use system call behavior graph. Not only will some noise independent of malicious behavior be introduced, but also the resistance to obfuscation technology is weak. This paper implements a dynamic malicious code detection technology based on kernel object. The implementation process is as follows:. In this paper, the dynamic stain analysis technique is used to monitor the propagation path of the samples at run time between each kernel object. The dependency between kernel objects and the object properties of each kernel object are captured and stored in the result file. The result file is parsed and the behavior graph of kernel object is constructed on this basis. Then we use graph clustering method to construct a common behavior graph for each malicious family and use graph matching to get the corresponding detection results. This method has the characteristics of high detection rate and low false alarm rate. Compared with some methods based on system call dependency graph, the detection effect is improved in this paper. Furthermore, the plug-in is written on the basis of dynamic binary analysis component TEMU of binary analysis platform Bitblaze. The function of dynamic stain analysis is realized. The propagation path of stain between kernel objects is captured and the dependencies between kernel objects are obtained.
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李夢雨;;關(guān)于系統(tǒng)調(diào)用的發(fā)展研究綜述[J];河北經(jīng)貿(mào)大學(xué)學(xué)報(bào)(綜合版);2010年01期

2 姚立紅 ,訾小超 ,黃皓 ,茅兵 ,謝立;基于系統(tǒng)調(diào)用特征的入侵檢測研究[J];電子學(xué)報(bào);2003年08期

3 羅寧,喻莉;一種基于系統(tǒng)調(diào)用異常檢測的改進(jìn)算法[J];電子工程師;2005年07期

4 劉雪飛;王申強(qiáng);吳伯橋;馬恒太;;基于系統(tǒng)調(diào)用的入侵檢測新方法[J];計(jì)算機(jī)應(yīng)用研究;2006年12期

5 陶芬;尹芷儀;傅建明;;基于系統(tǒng)調(diào)用的軟件行為模型[J];計(jì)算機(jī)科學(xué);2010年04期

6 吳瀛;江建慧;張蕊;;基于系統(tǒng)調(diào)用的入侵檢測研究進(jìn)展[J];計(jì)算機(jī)科學(xué);2011年01期

7 劉竹;陳晶;方良;;基于支持向量數(shù)據(jù)描述的系統(tǒng)調(diào)用軌跡異常檢測[J];計(jì)算機(jī)應(yīng)用與軟件;2012年01期

8 李珍;田俊峰;楊曉暉;;基于系統(tǒng)調(diào)用屬性的程序行為監(jiān)控[J];計(jì)算機(jī)研究與發(fā)展;2012年08期

9 吳瀛;江建慧;;基于進(jìn)程軌跡最小熵長度的系統(tǒng)調(diào)用異常檢測[J];計(jì)算機(jī)應(yīng)用;2012年12期

10 資武成,徐鵬飛;一種基于系統(tǒng)調(diào)用的主機(jī)入侵檢測及實(shí)現(xiàn)[J];計(jì)算機(jī)與現(xiàn)代化;2003年01期

相關(guān)會議論文 前6條

1 吳瀛;江建慧;;一種基于異常模式的系統(tǒng)調(diào)用異常檢測[A];第六屆中國測試學(xué)術(shù)會議論文集[C];2010年

2 陳林博;江建慧;張丹青;;基于多版本冗余進(jìn)程的容侵系統(tǒng)[A];第十四屆全國容錯(cuò)計(jì)算學(xué)術(shù)會議(CFTC'2011)論文集[C];2011年

3 朱國強(qiáng);劉真;李宗伯;;基于程序行為分析的入侵檢測技術(shù)研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

4 符蓉;徐向陽;王靖;;Linux下基于交叉視圖的隱蔽惡意代碼檢測[A];第八屆全國信息隱藏與多媒體安全學(xué)術(shù)大會湖南省計(jì)算機(jī)學(xué)會第十一屆學(xué)術(shù)年會論文集[C];2009年

5 石玉平;何銀南;郭俊杰;張琳;;機(jī)電測控系統(tǒng)調(diào)用Matlab函數(shù)的實(shí)現(xiàn)[A];制造技術(shù)自動(dòng)化學(xué)術(shù)會議論文集[C];2002年

6 高巖;董占球;;有限目標(biāo)的系統(tǒng)級防護(hù)技術(shù)的研究與實(shí)現(xiàn)[A];第十八次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C];2003年

相關(guān)重要報(bào)紙文章 前1條

1 鄭林;保護(hù)關(guān)鍵服務(wù)器[N];網(wǎng)絡(luò)世界;2002年

相關(guān)博士學(xué)位論文 前3條

1 徐明;基于系統(tǒng)調(diào)用的異常入侵檢測技術(shù)及IDS擴(kuò)展功能的研究[D];浙江大學(xué);2003年

2 尹芷儀;基于結(jié)構(gòu)指紋和污點(diǎn)跟蹤的軟件行為模型研究[D];武漢大學(xué);2010年

3 張桂玲;基于軟計(jì)算理論的入侵檢測技術(shù)研究[D];天津大學(xué);2006年

相關(guān)碩士學(xué)位論文 前10條

1 蘇杰;基于系統(tǒng)調(diào)用的入侵檢測研究[D];華中科技大學(xué);2007年

2 徐文龍;虛擬化系統(tǒng)進(jìn)程防護(hù)技術(shù)研究與實(shí)現(xiàn)[D];南京理工大學(xué);2015年

3 趙尚杰;云環(huán)境下多層次粒度可控的安全審計(jì)方法研究[D];哈爾濱工業(yè)大學(xué);2015年

4 楊洋;基于Linux進(jìn)程行為的入侵檢測技術(shù)研究[D];電子科技大學(xué);2014年

5 馮威;基于內(nèi)核對象的動(dòng)態(tài)惡意代碼檢測[D];哈爾濱工業(yè)大學(xué);2014年

6 符鶴;基于系統(tǒng)調(diào)用的入侵檢測實(shí)現(xiàn)與評估[D];中南大學(xué);2005年

7 王宇;基于系統(tǒng)調(diào)用異常檢測的深度分析方法[D];華中科技大學(xué);2005年

8 朱朝暉;系統(tǒng)調(diào)用在入侵檢測中的研究與應(yīng)用[D];廣東工業(yè)大學(xué);2008年

9 許鋁才;采用系統(tǒng)調(diào)用監(jiān)測安卓應(yīng)用資源使用的研究[D];復(fù)旦大學(xué);2013年

10 閻明;基于系統(tǒng)調(diào)用和上下文的異常檢測技術(shù)研究[D];哈爾濱工程大學(xué);2009年

，

本文編號：1483147