首页> 正文

基于操作虚拟化及时序逻辑的恶意代码分析

2020-12-15阅读(360)

基于操作虚拟化及时序逻辑的恶意代码分析

论文摘要

恶意代码通过多种传播手段,感染文档文件,破坏系统和网络的正常运行,严重威胁系统及信息安全,窃取个人隐私及商业秘密,甚至通过非法手段获取经济利益和军事机密。因此,恶意代码攻击成为目前倍受关注的安全问题,为了实现对恶意代码的识别与预防,为受害系统提供及时的损失评估及信息恢复,基于行为的恶意代码分析技术成为目前恶意代码分析工作的研究热点,而如何提高恶意代码分析工作的效率及行为分析的准确性是工作的重点,具有重要的现实意义。基于行为的恶意代码分析方法通常采用虚拟机或仿真系统作为恶意代码的执行环境,通过监控恶意代码运行时调用的系统API函数进行恶意代码的行为分析及恶意性的判定,并通过系统快照对执行环境进行状态回滚,为下一次分析提供一个“干净”的系统环境。然而,虚拟机或仿真系统所提供的执行环境易被某些恶意代码检测出来,从而使分析工作无法正常完成。并且,基于系统快照的回滚方式较为耗时,影响分析工作的效率。在基于API调用序列的恶意代码行为分析方面,现有的方法只考虑了对恶意代码操作之间的单一的前后调用关系的描述,而恶意代码在实际操作中存在多种相关关系,如时序关系、主客体关系等,若不能完整地描述这些操作间的关系,势必会影响恶意代码分析的准确率。针对上述不足,本文提出操作虚拟化的方法,该方法为恶意代码的运行提供真实的系统环境,保证恶意代码的执行环境不被检测出来,从而使恶意代码能够正常的运行,使分析工具能够获取完整而真实的API调用序列。该方法通过直接删除恶意操作的执行痕迹来实现系统状态的快速回滚。实验证明,该方法能够有效的提高恶意代码分析工作的效率。同时,本文提出一种基于时序逻辑的恶意代码行为分析方法。该方法引入时序逻辑,形式化的描述恶意代码操作之间的多个相关关系,实现对恶意代码行为更为精确地描述,并设计相应的行为判定算法对目标文件的行为的恶意性进行判断。使用恶意文件、正常文件及部分已知恶意代码的变种组成的数据集对本方法的有效性进行测试,实验证明,该方法能够实现精确的恶意行为描述,有效地判定恶意代码及其变种的恶意性行为,判定准确性高,且误报率低,与现有的主流恶意代码分析产品相比,在恶意操作的获取及分析方面更加详细和精确。基于上述方法,本文设计实现了恶意代码行为自动分析系统OV_MAS,该系统通过任务分派器依次打开或运行目标文件,使用内核级代码操作监控器对目标文件在运行时调用的重要的Native API函数进行监控,获取API调用序列,并通过行为检测引擎和恶意行为库对目标文件的行为进行恶意性判定与分析,最后给出分析报告,其中包括被认为具有恶意性的关键系统行为,判定的过程以及序列中体现恶意行为的片段等等。

论文目录

  • 摘要
  • ABSTRACT
  • 第1章 绪论
  • 1.1 研究背景
  • 1.2 问题描述
  • 1.3 本文工作
  • 1.4 组织结构
  • 第2章 相关工作
  • 2.1 恶意代码基本概念及攻击原理
  • 2.1.1 恶意代码基本概念
  • 2.1.2 恶意代码攻击原理
  • 2.2 恶意代码分析技术
  • 2.2.1 静态分析方法
  • 2.2.2 动态分析方法
  • 2.3 本章小结
  • 第3章 基于操作虚拟化的恶意代码监测
  • 3.1 内核级代码操作监控技术
  • 3.1.1 API函数挂钩
  • 3.1.2 内核中监控Native API调用
  • 3.1.3 内核级代码操作监控器
  • 3.2 基于操作虚拟化的系统状态回滚
  • 3.2.1 操作虚拟化方法的原理
  • 3.2.2 基于操作虚拟化的系统状态回滚实现
  • 3.2.3 方法分析
  • 3.3 本章小结
  • 第4章 基于时序逻辑的恶意代码行为分析
  • 4.1 理论基础
  • 4.2 基于一阶谓词时序逻辑的恶意行为形式化描述
  • 4.3 恶意行为判定
  • 4.3.1 算法描述
  • 4.3.2 算法分析
  • 4.3.3 实例说明
  • 4.4 方法分析
  • 4.5 本章小结
  • MAS'>第5章 恶意代码行为分析系统OVMAS
  • 5.1 系统需求及框架
  • 5.2 系统详细设计与实现
  • 5.3 系统评测与实验分析
  • 5.3.1 测试环境
  • 5.3.2 性能测试
  • 5.3.3 实验分析
  • 5.4 本章小结
  • 第6章 总结与展望
  • 6.1 全文总结
  • 6.2 未来工作
  • 参考文献
  • 致谢
  • 攻读学位期间参与的科研项目
  • 学位论文评阅及答辩情况表

    • 相关论文文献

    • [1].虚拟环境在恶意代码分析取证教学中的应用研究[J]. 信息记录材料 2020(08)
    • [2].基于深度学习的代码分析研究综述[J]. 计算机应用与软件 2018(06)
    • [3].综合性恶意代码分析平台设计[J]. 计算机与数字工程 2019(03)
    • [4].静态代码分析在软件测试中的应用研究[J]. 嘉应学院学报 2016(02)
    • [5].浅谈恶意代码分析技术发展趋势[J]. 科技资讯 2013(16)
    • [6].基于网络的恶意代码分析系统设计与实现[J]. 价值工程 2012(35)
    • [7].克隆代码分析方法研究[J]. 计算机应用研究 2017(03)
    • [8].源代码分析:如何修复漏洞?[J]. 网络安全和信息化 2020(08)
    • [9].以质量为中心的高效软件开发(下)[J]. 程序员 2009(06)
    • [10].恶意代码分析技术综述[J]. 无线互联科技 2014(03)
    • [11].源代码分析工具Klocwork 8.1发布[J]. 程序员 2009(04)
    • [12].JetBrains推出ReSharper 5.0[J]. 电脑与电信 2010(04)
    • [13].JavaScript代码分析技术综述[J]. 计算机应用与软件 2018(11)
    • [14].移动设备恶意代码分析与检测技术研究[J]. 信息与电脑(理论版) 2017(14)
    • [15].基于FindBugs技术的静态代码分析[J]. 电脑知识与技术 2012(32)
    • [16].基于VBA的Java语言源代码分析系统设计[J]. 软件工程 2016(04)
    • [17].主动网络的数据采集与主动代码分析[J]. 机电技术 2008(03)
    • [18].安全编码实践三:C/C++静态代码分析工具Prefast[J]. 程序员 2008(06)
    • [19].基于N-gram特征的网络恶意代码分析方法[J]. 数字技术与应用 2020(03)
    • [20].人防通信系统中的恶意代码分析与防范[J]. 电脑知识与技术 2017(07)
    • [21].移动恶意代码分析及检测技术研究[J]. 信息通信技术 2015(01)
    • [22].恶意代码分析与检测研究现状[J]. 微电脑世界 2009(07)
    • [23].一种基于亲缘性的恶意代码分析方法[J]. 信息安全与技术 2014(01)
    • [24].C语言静态代码分析中的调用关系提取方法[J]. 计算机科学 2014(S1)
    • [25].基于云计算的恶意软件分析检测研究[J]. 软件导刊 2016(01)
    • [26].个人信念体系对美国国际危机应对行为的影响[J]. 国际关系研究 2017(06)
    • [27].lpc2294启动代码分析[J]. 软件导刊 2009(12)
    • [28].僵尸网络分析实验设计[J]. 实验技术与管理 2014(12)
    • [29].恶意代码的符号执行树分析方法[J]. 重庆大学学报 2012(02)
    • [30].安全编码实践之四 C/C++中禁用危险API[J]. 程序员 2008(09)

    标签:;  ;  ;  ;  

    基于操作虚拟化及时序逻辑的恶意代码分析
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5