【摘要】：目前病毒、木馬、后門程序等惡意代碼技術(shù)飛速發(fā)展,重大經(jīng)濟損失事件及重要泄密事件頻頻發(fā)生。傳統(tǒng)的檢測技術(shù)針對未知惡意代碼的檢測效果較差,因此針對二進制代碼的行為深入分析,挖掘正常軟件與惡意軟件行為特征的細微區(qū)別正是目前網(wǎng)絡(luò)安全的迫切需要。本文通過對目前互聯(lián)網(wǎng)中出現(xiàn)的著名惡意代碼(如:鬼影、機器狗、Darkshell等)進行深入調(diào)試分析及對比研究,發(fā)現(xiàn)惡意代碼的行為特征;然后通過分析應(yīng)用程序IAT結(jié)構(gòu)、API Hook技術(shù)、差異性檢測方法、通知例程檢測方法等多種技術(shù)手段,研究針對惡意代碼的自動分析方法,并選定API調(diào)用序列作為行為特征主要研究依據(jù);在針對惡意代碼進行分析的過程中往往會遇到Rootkit病毒,使得分析無法進行,因此分析了Rootkit木馬的實現(xiàn)原理及檢測手段,并針對IAT鉤子、EAT鉤子、IDT鉤子及SSDT鉤子進行重點論述;最后本文針對原始攻擊樹模型、改進攻擊樹模型、擴展攻擊樹模型等進行了分析比較,提出了基于賦權(quán)特征向量的改進攻擊樹模型,在此模型中利用賦權(quán)特征向量的概念將惡意行為進行分類�；谫x權(quán)特征向量的改進攻擊樹模型,設(shè)計并實現(xiàn)一種主動檢測系統(tǒng)原型。該原型對惡意代碼的行為特征進行數(shù)學(xué)建模,綜合惡意代碼的API調(diào)用序列,功能性行為特征、隱藏性行為特征、Rootkit行為特征等作為判別依據(jù),并給出詳細的分析報告及關(guān)鍵行為記錄,方便對惡意代碼的手動查殺及深入分析。實驗表明,本方法能夠有效地檢測已知或未知的惡意代碼,針對利用花指令、加殼、多態(tài)變形等反檢測技術(shù)的惡意代碼也能進行有效的檢測,在惡意軟件的主動識別方面有較大的應(yīng)用價值。
[Abstract]:At present, malicious code technology, such as viruses, Trojans, backdoors and so on, has developed rapidly, and major economic losses and important leaks have occurred frequently. The traditional detection technology is poor for the detection of unknown malicious code, so it is an urgent need to analyze the behavior of binary code and mine the subtle difference between normal software and malware behavior. This paper analyzes and compares the famous malicious code (such as ghost, Duck shell and so on) in the Internet, finds out the behavior characteristics of malicious code, and then analyzes the API Hook technology of the application IAT structure. This paper studies the automatic analysis method for malicious code, and selects API call sequence as the main research basis for behavior characteristics. In the process of analyzing malicious code, rootkit virus is often encountered, which makes the analysis impossible. Therefore, the realization principle and detection method of rootkit Trojan horse are analyzed, and the IDT hook and SSDT hook of IAT hook are discussed emphatically. Finally, this paper analyzes and compares the original attack tree model, improved attack tree model and extended attack tree model, and proposes an improved attack tree model based on weighted eigenvector. In this model, the concept of weighted eigenvector is used to classify malicious acts. An active detection system prototype is designed and implemented based on an improved attack tree model based on weighted eigenvector. The prototype models the behavior characteristics of malicious code, synthesizes API call sequence, functional behavior feature, hidden behavior feature and rootkit behavior feature of malicious code. Detailed analysis report and key behavior record are given to facilitate manual detection and in-depth analysis of malicious code. Experiments show that this method can effectively detect known or unknown malicious code, and can also detect the malicious code using flower instruction, shell, polymorphic deformation and other anti-detection techniques. It has great application value in active recognition of malware.
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 李佳靜;梁知音;韋韜;毛劍;;一種基于語義的惡意行為分析方法[J];北京大學(xué)學(xué)報(自然科學(xué)版);2008年04期

2 車晶;張瑛;;一種基于主動學(xué)習(xí)的數(shù)據(jù)庫惡意行為檢測方法[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2012年10期

3 游超;龐建民;戴超;岳峰;;基于關(guān)鍵點復(fù)用的惡意行為檢測方法[J];信息工程大學(xué)學(xué)報;2013年05期

4 蔡皖東;;基于數(shù)據(jù)挖掘的惡意行為檢測方法[J];計算機科學(xué);2003年04期

5 黃茜;武東英;孫曉妍;;一種層次化的惡意代碼行為分析方法[J];計算機應(yīng)用;2010年04期

6 張一弛;龐建民;范學(xué)斌;姚鑫磊;;基于模型檢測的程序惡意行為識別方法[J];計算機工程;2012年18期

7 李子鋒;程紹銀;蔣凡;;一種Android應(yīng)用程序惡意行為的靜態(tài)檢測方法[J];計算機系統(tǒng)應(yīng)用;2013年07期

8 張翠艷;張平;胡剛;薛亮;;基于硬件資源訪問控制的固件惡意行為研究[J];計算機應(yīng)用研究;2011年07期

9 孫曉妍;祝躍飛;黃茜;郭寧;;基于系統(tǒng)調(diào)用蹤跡的惡意行為規(guī)范生成[J];計算機應(yīng)用;2010年07期

10 楊波威;宋廣華;鄭耀;;社會化P2P網(wǎng)絡(luò)中惡意行為預(yù)防機制[J];華中科技大學(xué)學(xué)報(自然科學(xué)版);2012年S1期

相關(guān)會議論文 前1條

1 王永健;;瀏覽器擴展中的惡意行為分析[A];虛擬運營與云計算——第十八屆全國青年通信學(xué)術(shù)年會論文集（下冊）[C];2013年

相關(guān)重要報紙文章 前2條

1 [美]克莉斯·丹姆察克 孫西輝 編譯;警惕“網(wǎng)絡(luò)戰(zhàn)爭”摧毀未來[N];社會科學(xué)報;2013年

2 單群一;浪潮為煙草行業(yè)提供安全加固系統(tǒng)[N];中國稅務(wù)報;2008年

相關(guān)碩士學(xué)位論文 前10條

1 譚丞;基于事件流的移動平臺惡意行為檢測研究[D];復(fù)旦大學(xué);2014年

2 徐安林;基于海量WEB日志的網(wǎng)絡(luò)惡意行為分析系統(tǒng)設(shè)計與實現(xiàn)[D];中國科學(xué)院大學(xué)(工程管理與信息技術(shù)學(xué)院);2015年

3 張建松;基于行為特征分析的惡意代碼檢測系統(tǒng)研究與實現(xiàn)[D];電子科技大學(xué);2014年

4 張鋼嶺;基于模擬執(zhí)行的惡意行為檢測模型研究[D];陜西師范大學(xué);2010年

5 王曉娣;基于虛擬機架構(gòu)的惡意行為跟蹤系統(tǒng)[D];華中科技大學(xué);2013年

6 袁雪冰;基于程序語義的靜態(tài)惡意代碼檢測系統(tǒng)的研究與實現(xiàn)[D];哈爾濱工業(yè)大學(xué);2009年

7 劉們成;基于分布式計算的移動數(shù)據(jù)惡意行為檢測研究與實現(xiàn)[D];北京郵電大學(xué);2015年

8 戴敏斐;基于Web2.0的數(shù)據(jù)分析及數(shù)據(jù)模型的設(shè)計與驗證[D];上海交通大學(xué);2009年

9 劉琳爽;Linux下基于多路徑的惡意行為規(guī)范自動挖掘[D];湖南大學(xué);2010年

10 楊樂康;關(guān)于固件代碼惡意行為的分析技術(shù)研究[D];山東大學(xué);2013年

，

本文編號：2124303