学位论文 > 优秀研究生学位论文题录展示

用于恶意代码检测的沙箱技术研究

作 者: 张灿岩
导 师: 张国印
学 校: 哈尔滨工程大学
专 业: 计算机软件与理论
关键词: 沙箱 API Hook 操作虚拟化 恶意代码 恶意行为
分类号: TP393.08
类 型: 硕士论文
年 份: 2013年
下 载: 93次
引 用: 0次
阅 读: 论文下载
 

内容摘要


恶意代码通过多种手段在计算机系统和网络中迅速传播,对信息安全产生严重影响。近几年,计算机病毒、蠕虫和木马等恶意代码在技术上逐步趋向交叉和融合,其攻击力、破坏力和生存能力都显著增强,这给恶意代码的检测、防御和清除工作带来严峻挑战。因此,研究恶意代码的检测技术对其防治工作具有重要的现实意义。本文针对传统沙箱在用户空间中对系统API函数调用进行监控,很容易被恶意代码绕过,并且,基于虚拟机和仿真环境的检测方法过多的消耗系统资源,且容易被恶意代码的防御检测机制发现的缺点,使用内核级的API Hook技术,对恶意代码的系统API函数调用进行更底层的监控和拦截,对恶意行为进行内核级的监控;使用基于操作系统级系统调用接口资源的重命名机制,对恶意代码请求的系统资源进行重定向,使其操作重定向以后的系统资源,或者对该系统调用操作进行虚拟化,从而,实现了一个真实且隔离的恶意代码执行环境。并且,沙箱可以尽可能多的共享操作系统资源,使用只对恶意行为进行监控,对非恶意行为放行的策略,满足了构建高性能沙箱的要求,并保证了恶意代码在沙箱中能够完整执行,实现了检测过程的有效性和完整性。本文主要针对Windows操作系统的恶意代码检测技术进行研究,在对传统沙箱技术不足进行分析的基础之上,针对其存在的主要缺点,提出了基于内核级API Hook和操作虚拟化的沙箱技术解决方案。仿真实验证明,与其它类型的沙箱进行对比,本文沙箱对恶意行为的检测具有准确性和高效性的特点。

全文目录


摘要  5-6
Abstract  6-9
第1章 绪论  9-17
  1.1 研究背景和意义  9-12
    1.1.1 恶意代码的危害  9-10
    1.1.2 恶意代码的种类  10-12
  1.2 恶意代码检测技术研究现状  12-14
  1.3 论文主要工作  14-15
  1.4 论文组织结构  15-17
第2章 恶意代码攻击和检测技术研究  17-27
  2.1 恶意代码攻击技术  17-20
    2.1.1 程序传播技术  17
    2.1.2 病毒感染技术  17-18
    2.1.3 系统破坏技术  18-19
    2.1.4 程序启动技术  19
    2.1.5 程序隐藏技术  19-20
  2.2 恶意代码分析方法  20-22
    2.2.1 静态分析方法  20-21
    2.2.2 动态分析方法  21-22
    2.2.3 动态和静态分析方法比较  22
  2.3 沙箱技术研究  22-25
    2.3.1 沙箱技术概述  23
    2.3.2 沙箱实现机制分析  23-25
  2.4 本章小结  25-27
第3章 基于内核级 API HOOK 和虚拟执行的沙箱  27-35
  3.1 AHVE 沙箱总述  27-31
    3.1.1 AHVE 沙箱总体思想  27-28
    3.1.2 AHVE 沙箱技术分析  28-29
    3.1.3 AHVE 沙箱技术框架  29-31
  3.2 AHVE 沙箱关键技术  31-34
    3.2.1 Windows API 挂钩技术  31-32
    3.2.2 虚拟执行技术  32-33
    3.2.3 行为分析技术  33-34
  3.3 本章小结  34-35
第4章 AHVE 沙箱技术  35-53
  4.1 内核级 API HOOK 技术  35-38
  4.2 AHVE 沙箱监控技术  38-47
    4.2.1 文件操作监控  38-39
    4.2.2 注册表操作监控  39-40
    4.2.3 网络行为监控  40-42
    4.2.4 终止和创建进程监控  42-43
    4.2.5 隐藏进程监控  43-45
    4.2.6 线程操作监控  45-46
    4.2.7 内核加载监控  46-47
  4.3 AHVE 沙箱虚拟化技术  47-50
    4.3.1 文件操作虚拟化  47-48
    4.3.2 注册表操作虚拟化  48
    4.3.3 网络行为虚拟化  48-49
    4.3.4 进程/线程操作虚拟化  49-50
    4.3.5 内核加载操作虚拟化  50
  4.4 本章小结  50-53
第5章 仿真实验  53-61
  5.1 实验环境  53-54
  5.2 实验结果与分析  54-59
    5.2.1 实验结果  55-58
    5.2.2 实验分析  58-59
  5.3 实验总结  59
  5.4 本章小结  59-61
结论  61-63
参考文献  63-68
致谢  68

相似论文

  1. 基于主动方式的恶意代码检测技术研究,TP393.08
  2. Web挂马检测系统的设计与实现,TP393.08
  3. 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
  4. 基于多移动Agent的大规模网络恶意代码防御机制的研究,TP393.08
  5. 基于内容的网页恶意代码检测的研究与实现,TP393.092
  6. 浏览器安全问题的研究与解决方案,TP393.092
  7. 基于虚拟执行技术的恶意程序检测系统研究与实现,TP309
  8. 基于统一可扩展固件接口的恶意代码防范系统研究,TP393.08
  9. 基于学习的恶意网页智能检测系统,TP393.08
  10. 基于流特征的恶意代码检测,TP393.08
  11. 木马网络通信特征提取技术研究,TP393.08
  12. 基于虚拟化的恶意代码行为捕获技术研究,TP393.08
  13. 面向邮件系统的恶意代码检测技术研究,TP393.08
  14. 文件系统过滤驱动在反恶意代码中的应用研究,TP393.08
  15. 基于反编译的恶意代码检测关键技术研究与实现,TP309
  16. 基于反编译的可疑行为标注技术的研究与实现,TP309
  17. 基于动态模糊神经网络的程序行为恶意性判定关键技术研究,TP309
  18. 网络恶意代码隐藏技术的分析及检测,TP393.08
  19. 恶意代码检测及其行为分析,TP393.08
  20. 恶意代码检测与分类技术研究,TP393.08
  21. 基于程序语义的静态恶意代码检测系统的研究与实现,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com