本文關(guān)鍵詞：基于VMware虛擬機(jī)的惡意程序仿真檢測平臺設(shè)計與實(shí)現(xiàn)

  更多相關(guān)文章： 惡意程序 動態(tài)仿真 啟發(fā)式 虛擬機(jī) 行為檢測

【摘要】：目前在惡意程序檢測領(lǐng)域,基于特征碼的病毒檢測技術(shù)依然占據(jù)主要地位,但隨著黑客技術(shù)的盛行,世界范圍內(nèi)的惡意程序總量大幅增長,特征碼檢測技術(shù)需要先收集樣本,才能提取特征,然而隨著惡意程序數(shù)量的增長,分析提取工作也隨之膨脹,且特征碼檢測技術(shù)的被動響應(yīng)模式永遠(yuǎn)滯后于病毒發(fā)作。動態(tài)仿真惡意程序檢測技術(shù)不依賴被動更新與響應(yīng)的特征庫,它通過分析程序動態(tài)行為,分析其惡意性,因此可以克服特征碼查殺技術(shù)滯后的缺點(diǎn)。由于動態(tài)仿真所考察的是被檢測文件實(shí)際運(yùn)行時的行為,因此在判斷上更準(zhǔn)確,并可以有效的獲取惡意程序的具體破壞行為。沙箱是目前殺軟廣泛使用的一種動態(tài)仿真技術(shù),但由于沙箱自身只能簡單模擬部分CPU指令與基本運(yùn)行環(huán)境,很多情況下無法準(zhǔn)確的得到可疑文件的行為,因此很難獲得較高的查殺率。針對沙箱技術(shù)的仿真能力不足,結(jié)合硬件虛擬化技術(shù),本文設(shè)計了一種基于虛擬機(jī)來模擬真實(shí)環(huán)境,以實(shí)現(xiàn)對惡意程序進(jìn)行完整仿真的方法,并提出了一種基于同行為概率差的權(quán)值算法,對惡意行為的權(quán)值進(jìn)行定解,以實(shí)現(xiàn)對可疑程序的性質(zhì)分析與判斷。主要完成了以下工作:首先,本文通過樣本分析與文獻(xiàn)研究,詳細(xì)提取與歸納了當(dāng)前流行的惡意程序的行為特征,并對惡意程序的關(guān)鍵行為進(jìn)行了歸類,并對其特點(diǎn)進(jìn)行了總結(jié)。其次,本文分析了幾種經(jīng)典的惡意程序判定算法,包括基于權(quán)值線性疊加的判定算法、基于Bayes先驗(yàn)判斷的判定算法與基于SVM支持向量機(jī)的判定算法等,并歸納了幾種算法的特點(diǎn)。再次,針對傳統(tǒng)判定算法的不足,利用雙樣本空間的行為概率差,提出了一種基于雙樣本概率差的行為加權(quán)算法,并用該算法對基于線性疊加的惡意程序判定模型進(jìn)行了改良。最后,針對惡意程序的行為特征,實(shí)現(xiàn)了對應(yīng)的行為檢測模塊,結(jié)合虛擬化技術(shù)以及改良的判定模型,設(shè)計并實(shí)現(xiàn)了一套基于虛擬機(jī)的惡意程序仿真檢測系統(tǒng),并對系統(tǒng)的整體性能進(jìn)行了樣本測試。
【關(guān)鍵詞】：惡意程序 動態(tài)仿真 啟發(fā)式 虛擬機(jī) 行為檢測
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP302
，

本文編號：854950