学位论文 > 优秀研究生学位论文题录展示
用于恶意代码检测的沙箱技术研究
作 者: 张灿岩
导 师: 张国印
学 校: 哈尔滨工程大学
专 业: 计算机软件与理论
关键词: 沙箱 API Hook 操作虚拟化 恶意代码 恶意行为
分类号: TP393.08
类 型: 硕士论文
年 份: 2013年
下 载: 93次
引 用: 0次
阅 读: 论文下载
内容摘要
恶意代码通过多种手段在计算机系统和网络中迅速传播,对信息安全产生严重影响。近几年,计算机病毒、蠕虫和木马等恶意代码在技术上逐步趋向交叉和融合,其攻击力、破坏力和生存能力都显著增强,这给恶意代码的检测、防御和清除工作带来严峻挑战。因此,研究恶意代码的检测技术对其防治工作具有重要的现实意义。本文针对传统沙箱在用户空间中对系统API函数调用进行监控,很容易被恶意代码绕过,并且,基于虚拟机和仿真环境的检测方法过多的消耗系统资源,且容易被恶意代码的防御检测机制发现的缺点,使用内核级的API Hook技术,对恶意代码的系统API函数调用进行更底层的监控和拦截,对恶意行为进行内核级的监控;使用基于操作系统级系统调用接口资源的重命名机制,对恶意代码请求的系统资源进行重定向,使其操作重定向以后的系统资源,或者对该系统调用操作进行虚拟化,从而,实现了一个真实且隔离的恶意代码执行环境。并且,沙箱可以尽可能多的共享操作系统资源,使用只对恶意行为进行监控,对非恶意行为放行的策略,满足了构建高性能沙箱的要求,并保证了恶意代码在沙箱中能够完整执行,实现了检测过程的有效性和完整性。本文主要针对Windows操作系统的恶意代码检测技术进行研究,在对传统沙箱技术不足进行分析的基础之上,针对其存在的主要缺点,提出了基于内核级API Hook和操作虚拟化的沙箱技术解决方案。仿真实验证明,与其它类型的沙箱进行对比,本文沙箱对恶意行为的检测具有准确性和高效性的特点。
|
全文目录
摘要 5-6 Abstract 6-9 第1章 绪论 9-17 1.1 研究背景和意义 9-12 1.1.1 恶意代码的危害 9-10 1.1.2 恶意代码的种类 10-12 1.2 恶意代码检测技术研究现状 12-14 1.3 论文主要工作 14-15 1.4 论文组织结构 15-17 第2章 恶意代码攻击和检测技术研究 17-27 2.1 恶意代码攻击技术 17-20 2.1.1 程序传播技术 17 2.1.2 病毒感染技术 17-18 2.1.3 系统破坏技术 18-19 2.1.4 程序启动技术 19 2.1.5 程序隐藏技术 19-20 2.2 恶意代码分析方法 20-22 2.2.1 静态分析方法 20-21 2.2.2 动态分析方法 21-22 2.2.3 动态和静态分析方法比较 22 2.3 沙箱技术研究 22-25 2.3.1 沙箱技术概述 23 2.3.2 沙箱实现机制分析 23-25 2.4 本章小结 25-27 第3章 基于内核级 API HOOK 和虚拟执行的沙箱 27-35 3.1 AHVE 沙箱总述 27-31 3.1.1 AHVE 沙箱总体思想 27-28 3.1.2 AHVE 沙箱技术分析 28-29 3.1.3 AHVE 沙箱技术框架 29-31 3.2 AHVE 沙箱关键技术 31-34 3.2.1 Windows API 挂钩技术 31-32 3.2.2 虚拟执行技术 32-33 3.2.3 行为分析技术 33-34 3.3 本章小结 34-35 第4章 AHVE 沙箱技术 35-53 4.1 内核级 API HOOK 技术 35-38 4.2 AHVE 沙箱监控技术 38-47 4.2.1 文件操作监控 38-39 4.2.2 注册表操作监控 39-40 4.2.3 网络行为监控 40-42 4.2.4 终止和创建进程监控 42-43 4.2.5 隐藏进程监控 43-45 4.2.6 线程操作监控 45-46 4.2.7 内核加载监控 46-47 4.3 AHVE 沙箱虚拟化技术 47-50 4.3.1 文件操作虚拟化 47-48 4.3.2 注册表操作虚拟化 48 4.3.3 网络行为虚拟化 48-49 4.3.4 进程/线程操作虚拟化 49-50 4.3.5 内核加载操作虚拟化 50 4.4 本章小结 50-53 第5章 仿真实验 53-61 5.1 实验环境 53-54 5.2 实验结果与分析 54-59 5.2.1 实验结果 55-58 5.2.2 实验分析 58-59 5.3 实验总结 59 5.4 本章小结 59-61 结论 61-63 参考文献 63-68 致谢 68
|
相似论文
- 基于主动方式的恶意代码检测技术研究,TP393.08
- Web挂马检测系统的设计与实现,TP393.08
- 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
- 基于多移动Agent的大规模网络恶意代码防御机制的研究,TP393.08
- 基于内容的网页恶意代码检测的研究与实现,TP393.092
- 浏览器安全问题的研究与解决方案,TP393.092
- 基于虚拟执行技术的恶意程序检测系统研究与实现,TP309
- 基于统一可扩展固件接口的恶意代码防范系统研究,TP393.08
- 基于学习的恶意网页智能检测系统,TP393.08
- 基于流特征的恶意代码检测,TP393.08
- 木马网络通信特征提取技术研究,TP393.08
- 基于虚拟化的恶意代码行为捕获技术研究,TP393.08
- 面向邮件系统的恶意代码检测技术研究,TP393.08
- 文件系统过滤驱动在反恶意代码中的应用研究,TP393.08
- 基于反编译的恶意代码检测关键技术研究与实现,TP309
- 基于反编译的可疑行为标注技术的研究与实现,TP309
- 基于动态模糊神经网络的程序行为恶意性判定关键技术研究,TP309
- 网络恶意代码隐藏技术的分析及检测,TP393.08
- 恶意代码检测及其行为分析,TP393.08
- 恶意代码检测与分类技术研究,TP393.08
- 基于程序语义的静态恶意代码检测系统的研究与实现,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|