【摘要】：目前病毒、木馬、后門程序等惡意代碼技術飛速發(fā)展,重大經濟損失事件及重要泄密事件頻頻發(fā)生。傳統(tǒng)的檢測技術針對未知惡意代碼的檢測效果較差,因此針對二進制代碼的行為深入分析,挖掘正常軟件與惡意軟件行為特征的細微區(qū)別正是目前網絡安全的迫切需要。本文通過對目前互聯(lián)網中出現(xiàn)的著名惡意代碼(如:鬼影、機器狗、Darkshell等)進行深入調試分析及對比研究,發(fā)現(xiàn)惡意代碼的行為特征;然后通過分析應用程序IAT結構、API Hook技術、差異性檢測方法、通知例程檢測方法等多種技術手段,研究針對惡意代碼的自動分析方法,并選定API調用序列作為行為特征主要研究依據(jù);在針對惡意代碼進行分析的過程中往往會遇到Rootkit病毒,使得分析無法進行,因此分析了Rootkit木馬的實現(xiàn)原理及檢測手段,并針對IAT鉤子、EAT鉤子、IDT鉤子及SSDT鉤子進行重點論述;最后本文針對原始攻擊樹模型、改進攻擊樹模型、擴展攻擊樹模型等進行了分析比較,提出了基于賦權特征向量的改進攻擊樹模型,在此模型中利用賦權特征向量的概念將惡意行為進行分類�；谫x權特征向量的改進攻擊樹模型,設計并實現(xiàn)一種主動檢測系統(tǒng)原型。該原型對惡意代碼的行為特征進行數(shù)學建模,綜合惡意代碼的API調用序列,功能性行為特征、隱藏性行為特征、Rootkit行為特征等作為判別依據(jù),并給出詳細的分析報告及關鍵行為記錄,方便對惡意代碼的手動查殺及深入分析。實驗表明,本方法能夠有效地檢測已知或未知的惡意代碼,針對利用花指令、加殼、多態(tài)變形等反檢測技術的惡意代碼也能進行有效的檢測,在惡意軟件的主動識別方面有較大的應用價值。
[Abstract]:At present, malicious code technology, such as viruses, Trojans, backdoors and so on, has developed rapidly, and major economic losses and important leaks have occurred frequently. The traditional detection technology is poor for the detection of unknown malicious code, so it is an urgent need to analyze the behavior of binary code and mine the subtle difference between normal software and malware behavior. This paper analyzes and compares the famous malicious code (such as ghost, Duck shell and so on) in the Internet, finds out the behavior characteristics of malicious code, and then analyzes the API Hook technology of the application IAT structure. This paper studies the automatic analysis method for malicious code, and selects API call sequence as the main research basis for behavior characteristics. In the process of analyzing malicious code, rootkit virus is often encountered, which makes the analysis impossible. Therefore, the realization principle and detection method of rootkit Trojan horse are analyzed, and the IDT hook and SSDT hook of IAT hook are discussed emphatically. Finally, this paper analyzes and compares the original attack tree model, improved attack tree model and extended attack tree model, and proposes an improved attack tree model based on weighted eigenvector. In this model, the concept of weighted eigenvector is used to classify malicious acts. An active detection system prototype is designed and implemented based on an improved attack tree model based on weighted eigenvector. The prototype models the behavior characteristics of malicious code, synthesizes API call sequence, functional behavior feature, hidden behavior feature and rootkit behavior feature of malicious code. Detailed analysis report and key behavior record are given to facilitate manual detection and in-depth analysis of malicious code. Experiments show that this method can effectively detect known or unknown malicious code, and can also detect the malicious code using flower instruction, shell, polymorphic deformation and other anti-detection techniques. It has great application value in active recognition of malware.
【學位授予單位】：電子科技大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 李佳靜;梁知音;韋韜;毛劍;;一種基于語義的惡意行為分析方法[J];北京大學學報(自然科學版);2008年04期

2 車晶;張瑛;;一種基于主動學習的數(shù)據(jù)庫惡意行為檢測方法[J];網絡安全技術與應用;2012年10期

3 游超;龐建民;戴超;岳峰;;基于關鍵點復用的惡意行為檢測方法[J];信息工程大學學報;2013年05期

4 蔡皖東;;基于數(shù)據(jù)挖掘的惡意行為檢測方法[J];計算機科學;2003年04期

5 黃茜;武東英;孫曉妍;;一種層次化的惡意代碼行為分析方法[J];計算機應用;2010年04期

6 張一弛;龐建民;范學斌;姚鑫磊;;基于模型檢測的程序惡意行為識別方法[J];計算機工程;2012年18期

7 李子鋒;程紹銀;蔣凡;;一種Android應用程序惡意行為的靜態(tài)檢測方法[J];計算機系統(tǒng)應用;2013年07期

8 張翠艷;張平;胡剛;薛亮;;基于硬件資源訪問控制的固件惡意行為研究[J];計算機應用研究;2011年07期

9 孫曉妍;祝躍飛;黃茜;郭寧;;基于系統(tǒng)調用蹤跡的惡意行為規(guī)范生成[J];計算機應用;2010年07期

10 楊波威;宋廣華;鄭耀;;社會化P2P網絡中惡意行為預防機制[J];華中科技大學學報(自然科學版);2012年S1期

相關會議論文 前1條

1 王永健;;瀏覽器擴展中的惡意行為分析[A];虛擬運營與云計算——第十八屆全國青年通信學術年會論文集（下冊）[C];2013年

相關重要報紙文章 前2條

1 [美]克莉斯·丹姆察克 孫西輝 編譯;警惕“網絡戰(zhàn)爭”摧毀未來[N];社會科學報;2013年

2 單群一;浪潮為煙草行業(yè)提供安全加固系統(tǒng)[N];中國稅務報;2008年

相關碩士學位論文 前10條

1 譚丞;基于事件流的移動平臺惡意行為檢測研究[D];復旦大學;2014年

2 徐安林;基于海量WEB日志的網絡惡意行為分析系統(tǒng)設計與實現(xiàn)[D];中國科學院大學(工程管理與信息技術學院);2015年

3 張建松;基于行為特征分析的惡意代碼檢測系統(tǒng)研究與實現(xiàn)[D];電子科技大學;2014年

4 張鋼嶺;基于模擬執(zhí)行的惡意行為檢測模型研究[D];陜西師范大學;2010年

5 王曉娣;基于虛擬機架構的惡意行為跟蹤系統(tǒng)[D];華中科技大學;2013年

6 袁雪冰;基于程序語義的靜態(tài)惡意代碼檢測系統(tǒng)的研究與實現(xiàn)[D];哈爾濱工業(yè)大學;2009年

7 劉們成;基于分布式計算的移動數(shù)據(jù)惡意行為檢測研究與實現(xiàn)[D];北京郵電大學;2015年

8 戴敏斐;基于Web2.0的數(shù)據(jù)分析及數(shù)據(jù)模型的設計與驗證[D];上海交通大學;2009年

9 劉琳爽;Linux下基于多路徑的惡意行為規(guī)范自動挖掘[D];湖南大學;2010年

10 楊樂康;關于固件代碼惡意行為的分析技術研究[D];山東大學;2013年

，

本文編號：2124303