云安全环境下的恶意代码前端检测技术研究

论文摘要

当前网络环境下,计算机病毒的迅速演化导致了反病毒技术的不断发展,反病毒史上病毒查杀技术层出不穷,其中传统的特征码技术是最基础的技术。特征码技术主要是将被测程序具有的特征与特征库中已知的特征进行匹配,从而实现对病毒的检测。但是,病毒的发展也给传统的特征码技术带来了新的挑战。特征码技术的滞后性使得特征杀毒方法落后于病毒的产生,对于病毒库中不存在特征的未知病毒无法进行有效检测。随着云安全技术的发展并广泛运用于实际中,反病毒技术也拥有着更大的发展空间,行为分析技术因为能够识别未知恶意代码,而成为反病毒领域的研究热点。对病毒进行行为分析之前必须要确定它所具备的动态行为规则(特征),本文引入了病毒在植入、安装以及运行等阶段的35种行为特征。借用特征向量的形式对这35种行为特征进行描述,并在此基础上设计实现捕获恶意行为的方法。本文针对样本程序的动态行为特征建立分类算法,并根据训练样本多个属性的取值设计学习器,使算法能够更好地对样本进行分类。而且,根据恶意代码的黑白检测与黑灰检测技术,分别提出了基于最小距离分类器的黑白检测模型以及基于AdaBoost分类器的黑灰检测模型,并使用这两种模型对样本进行分类。实验结果表明经过改进的最小距离分类器除了良好的分类精度外,其计算代价较其它非线性方法也要小得多,因此该模型在实际的反病毒工作中有较高的实用价值,而且AdaBoost分类器对降低灰名单样本的误报率效果显著。此外,本文设计并实现了恶意代码样本自动行为分析系统,有效解决了海量样本上报处理问题,该联机处理系统以虚拟机控制技术为基础,很好地满足了海量样本的分析需求。

论文目录

摘要

Abstract

致谢

第一章绪论

1.1 研究背景

1.1.1 网络安全问题的产生

1.1.2 恶意代码的危害

1.1.3 恶意代码的新技术

1.1.4 云安全概述

1.1.5 国内外反恶意代码领域的研究现状

1.2 研究内容

1.3 论文组织

第二章云安全环境下的恶意代码前端检测技术

2.1 特征码技术

2.2 实时监控

2.3 虚拟机技术

2.4 启发式技术

2.4.1 静态启发式扫描技术

2.4.2 行为分析技术

2.5 本章小结

第三章恶意代码行为分析技术

3.1 常见恶意代码行为的分析归纳

3.1.1 行为分析应用于恶意代码检测的原理

3.1.2 恶意代码的行为特征及其与Win32 API 的对应关系

3.1.3 恶意代码行为的形式化描述方法

3.2 基于行为分析的检测模型

3.2.1 模型检验指标

3.2.2 基于最小距离分类器的黑白检测模型

3.2.3 基于AdaBoost 算法的黑灰检测模型

3.3 本章小结

第四章云安全下恶意代码分析工具的设计与实现

4.1 云安全环境中恶意代码行为捕获工具

4.1.1 行为的动态捕获技术原理

4.1.2 捕获引擎的设计

4.1.3 扩展插件HOOKDLL 动态链接库的设计

4.2 云安全下恶意代码自动化行为分析系统的设计与实现

4.2.1 虚拟机技术

4.2.2 自动化行为分析系统

4.2.3 自动化行为分析系统结构及控制程序

4.3 本章小结

第五章总结与展望

5.1 论文总结

5.2 研究展望

附录

附录1 常见恶意代码行为与API 的对应关系

附录2 常见恶意代码行为

附录3 Win32 系统敏感资源

附录3.1 敏感文件夹

附录3.2 敏感文件扩展名

附录3.3 敏感注册表启动项

参考文献

攻读硕士学位期间发表的论文

云安全环境下的恶意代码前端检测技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢