学位论文 > 优秀研究生学位论文题录展示
恶意代码的行为分析
作 者: 张海鹏
导 师: 秦军
学 校: 南京邮电大学
专 业: 计算机应用技术
关键词: 恶意代码 虚拟机技术 行为分析 系统调用
分类号: TP393.08
类 型: 硕士论文
年 份: 2013年
下 载: 178次
引 用: 0次
阅 读: 论文下载
内容摘要
恶意代码(如病毒、僵尸网络、木马、蠕虫、Rootkit)的爆发式增长严重威胁着信息系统安全。尽管常用的恶意代码检测技术,比如基于异常的恶意代码检测,可以检测识别出部分恶意代码,但是始终存在缺陷与不足。因此,研究恶意代码分析检测技术意义重大。本文对恶意代码的定义、种类以及特征进行了概括。详细讨论了常用的恶意行为监视方法及其各自的缺点与不足。在这基础上,基于硬件辅助虚拟化特性提出一种改进的恶意代码行为监视方法。这种方法监视系统事件获取代码的行为特征,它以较低的性能开销实现恶意代码透明行为监视。对于恶意代码分析,静态分析不能检测未知恶意代码和变体攻击,动态分析占用系统资源多而且误报率高。论文提出一种基于综合行为特征的恶意代码分析方法,主要提取代码的关联行为特征、系统调用序列特征和函数调用特征,并且综合这些行为特征利用加权投票算法判定代码是否为恶意代码。本文研究恶意代码的透明行为监视、行为特征分析和虚拟化技术,实现了基于综合行为特征分析的恶意代码检测系统。该原型系统主要包括:启动检测模块、虚拟机模块、行为特征分析模块和代码检测模块。启动检测模块完成系统启动检测和加载虚拟机模块功能,虚拟机模块实现操作系统迁移和透明监视功能,行为特征分析模块主要负责行为特征的提取与收集工作,代码检测模块主要基于多特征加权投票算法判定代码是否为恶意代码。通过样本测试可以得出原型系统具有较高的检测识别率和较低的性能开销。
|
全文目录
摘要 4-5 Abstract 5-8 第一章 绪论 8-12 1.1 研究背景 8-10 1.1.1 恶意代码的危害 8-9 1.1.2 恶意代码的定义 9-10 1.2 研究现状 10 1.3 本文研究的内容与组织结构 10-12 第二章 恶意代码相关技术 12-23 2.1 传统恶意代码检测技术 12-15 2.1.1 特征码检测机制 12-13 2.1.2 异常检测机制 13-14 2.1.3 沙箱技术 14-15 2.1.4 启发式检测 15 2.2 恶意代码反检测技术 15-16 2.3 虚拟化技术 16-21 2.3.1 虚拟化类型 16-18 2.3.2 x86 硬件辅助虚拟化 18-21 2.4 本章小结 21-23 第三章 恶意代码行为监视 23-38 3.1 传统监视方法 23-24 3.1.1 相关监视方法 23-24 3.1.2 完整性保护 24 3.2 性能与安全条件 24-27 3.3 改进的安全内部 VM 监视 27-32 3.3.1 MSIM 总体架构设计 27-31 3.3.2 改进的安全监视器功能 31-32 3.4 架构实现 32-34 3.4.1 初始化阶段 32-34 3.4.2 运行时内存保护 34 3.5 实验评估 34-37 3.5.1 调用开销 34-35 3.5.2 应用测试 35-37 3.6 本章小结 37-38 第四章 恶意代码行为特征分析 38-48 4.1 恶意代码分析技术 38-40 4.1.1 静态分析技术 38-39 4.1.2 动态分析技术 39-40 4.2 基于综合行为特征的恶意代码分析 40-45 4.2.1 系统模型构架 40-41 4.2.2 行为特征提取 41-45 4.2.3 综合特征加权投票 45 4.3 实验评估 45-47 4.3.1 参数定义 46 4.3.2 实验结果 46-47 4.4 本章小结 47-48 第五章 基于综合行为特征分析的恶意代码检测系统设计 48-56 5.1 相关技术研究 48-52 5.1.1 程序执行抽象模型 48 5.1.2 恶意代码透明检测分析 48-50 5.1.3 透明性条件 50-52 5.2 系统原型 52-54 5.2.1 系统总体框架 52-53 5.2.2 功能模块设计 53-54 5.3 系统测试 54-55 5.3.1 检出率测试 54 5.3.2 误报率测试 54-55 5.4 本章小结 55-56 第六章 总结与展望 56-58 6.1 总结 56 6.2 进一步研究方向与建议 56-58 参考文献 58-61 附录 2 攻读硕士学位期间撰写的论文 61-62 致谢 62
|
相似论文
- 基于主动方式的恶意代码检测技术研究,TP393.08
- Web挂马检测系统的设计与实现,TP393.08
- 基于进程行为的主机入侵防御系统的研究,TP393.08
- 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
- 基于动态模糊神经网络的程序行为恶意性判定关键技术研究,TP309
- 分布式文件系统容错能力测试平台的设计与实现,TP302.8
- 南京电信网厅用户行为分析系统的设计实现与应用,TP311.52
- 视频监控中目标的行为分析,TP391.41
- 用户交易行为的分析与展示—在现代易货业中的应用,TP311.13
- 基于Wi-Fi无线定位的消费者行为分析系统设计与实现,TP311.52
- 基于数据挖掘的社区网站用户行为分析系统,TP393.092
- 机场VIP客户服务分析系统的设计与实现,V351.3
- 基于内容的网页恶意代码检测的研究与实现,TP393.092
- 基于DPI的即时通信软件监测系统的研究与实现,TN915.09
- 动态关联规则的研究,TP311.13
- 基于用户行为数据分析的移动互联业务推荐模型,TP311.13
- 企业销售团队管理研究,F224.32
- 基于Web日志的用户挖掘研究与实现,TP311.13
- 一种全新旁路攻击的分析与防御策略的研究,TP309
- 网络服务器监测系统研究与开发,TP393.05
- 基于WEB浏览的用户行为分析系统的研究与设计,TP393.09
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|