学位论文 > 优秀研究生学位论文题录展示

二进制程序行为检测分析平台

作 者: 康凯
导 师: 张凤荔
学 校: 电子科技大学
专 业: 计算机应用技术
关键词: 恶意程序 二进制 隐蔽 行为检测
分类号: TP309
类 型: 硕士论文
年 份: 2010年
下 载: 70次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着互联网技术的不断发展和应用范围的不断扩大,信息安全越来越成为政府,企业和个人所关注的焦点。近年来,以病毒、蠕虫、木马、后门和rootkit等为主要形式的恶意程序正成为这一范畴内的主要研究课题。如何应对日益泛滥的恶意程序并有效地检测出它们的样本是所有研究里的重中之重。新型的恶意程序除了具备攻击性与破坏性等传统特性外,更开发出了多样性,隐蔽性和自我保护性等新型特性,并以此获得了更为强大的攻击力和生存能力。如何有效地瓦解恶意程序所使用的代码迷惑,加壳以及反调试技术已成为公认的难点。与此同时恶意程序的检测技术也呈出现不断发展的趋势,出现了动态特征码扫描、虚拟机查毒、行为特征识别等方法,但是这些方式方法中最成熟,利用也最广泛的还是传统的基于特征码的检测技术。因此,如何有效地对抗目前恶意程序所拥有的新型特性,准确地检测出某个程序是否符合恶意程序的规范,并弥补当前检测技术的不足成为了本文的研究目的。为达到以上目标,本文提出了一个基于动态分析的行为检测平台,通过设置隐蔽的监视断点来捕获二进制程序运行时所执行的各种行为,同时广泛地调研当前恶意程序的行为规范来构造行为规则库,从而通过规则匹配的方式来判定该程序的行为是否符合某些恶意行为的标准,最后对该程序的威胁度进行评定并输出综合结论。该平台最重要的特性就是能够有效应对当前恶意程序所使用的隐蔽和反检测技术,针对恶意程序的多样性,隐蔽性和自我保护性提出相应的检测方案。本文的主要工作内容如下:1.重点研究当今恶意程序所普遍使用的反检测技术,从而对症下药;2.从静态分析与动态分析两方面来介绍目前检测恶意程序的主要方法,提出每种方法的局限与不足并尝试给出可能的解决方案;3.针对当前恶意程序所使用的技术和安全检测所存在的不足给出基于动态分析二进制程序行为的检测方案,该方案继承了动态检测的优点并能在一定程度上弥补其不足;4.给出二进制程序行为检测分析平台的概要设计和详细设计,描述整个平台的运行流程,并详细介绍平台子系统与功能模块的作用与实现方式;5.最后对本文所提出的平台进行实验和测试,分析其优点及尚存的不足并指出未来的研究方向。实验证明该平台能够有效地检测和分析各种恶意程序,平台输出的分析结果可以作为评价这些程序的重要标准。

全文目录


摘要  4-6
Abstract  6-11
第一章 绪论  11-16
  1.1 选题依据和研究意义  11-13
  1.2 国内外研究现状  13
  1.3 国内外发展态势  13-14
  1.4 论文的组织形式及内容  14-16
第二章 恶意程序的生存与检测技术  16-32
  2.1 恶意程序的分类  16-17
  2.2 恶意程序的生存技术  17-25
    2.2.1 加壳技术  17-18
    2.2.2 代码迷惑技术  18-22
      2.2.2.1 多态与变形  19-21
      2.2.2.2 代码变形的实现  21-22
    2.2.3 Bootkit 技术  22-23
    2.2.4 反调试技术  23-24
    2.2.5 虚拟机检测技术  24-25
  2.3 恶意程序检测技术  25-31
    2.3.1 静态分析技术  25-29
      2.3.1.1 特征码检测技术  26-27
      2.3.1.2 基于语义分析的恶意程序检测技术  27-29
    2.3.2 动态分析  29-31
  2.4 小结  31-32
第三章 行为检测的方案及流程设计  32-42
  3.1 系统方案  32-33
  3.2 技术原理及分析流程  33-40
    3.2.1 虚拟环境的搭建技术  33
    3.2.2 隐蔽断点调试技术  33-35
    3.2.3 行为捕获技术原理及过程  35-37
    3.2.4 规则库的建立与匹配  37-39
    3.2.5 整体工作流程  39-40
  3.3 小结  40-42
第四章 二进制程序行为检测分析平台系统设计  42-48
  4.1 功能目标  42
  4.2 运行环境  42
  4.3 系统框架  42-44
  4.4 详细设计  44-46
    4.4.1 二进制程序监控平台的模块划分  44-45
    4.4.2 行为检测引擎的模块划分  45-46
    4.4.3 行为分析引擎的模块划分  46
  4.5 小结  46-48
第五章 二进制程序行为检测分析平台的实现  48-66
  5.1 二进制程序监控平台的实现  48-55
    5.1.1 虚拟机模块的实现  48-50
    5.1.2 反汇编模块的实现  50-51
    5.1.3 隐蔽断点调试模块的实现  51-55
  5.2 行为检测引擎的实现  55-59
    5.2.1 函数原型获取模块的实现  55
    5.2.2 敏感参数获取模块的实现  55-59
  5.3 行为分析引擎的实现  59-64
    5.3.1 恶意行为规则库的实现  59-61
    5.3.2 规则匹配模块的实现  61-63
    5.3.3 行为记录模块的实现  63-64
  5.4 用户界面的实现  64-65
  5.5 小结  65-66
第六章 实验测试结果  66-70
  6.1 功能测试  66-69
  6.2 性能测试  69
  6.3 小结  69-70
第七章 结论  70-72
  7.1 全文总结  70-71
  7.2 未来展望  71-72
致谢  72-73
参考文献  73-77
攻硕期间取得的研究成果  77-78

相似论文

  1. 改进二进制粒子群算法在梯级水电站AGC中的应用研究,TV737
  2. 一种虚拟集群中的轻量级通信机制,TP302
  3. 计算机病毒行为检测方法研究,TP309.5
  4. 胶囊内镜便携式接收系统及内镜图像出血识别算法研究,TP391.41
  5. 基于Xilinx ISE和FPGA的BOC信号同步算法研究和仿真,P228.4
  6. 网络隐蔽时间信道及其干扰技术研究,TP393.08
  7. 网络隐蔽信道检测技术的研究,TP393.08
  8. 基于二进制代码的动态符号执行工具,TP309
  9. 基于聚类和分化特性的网络时间隐蔽信道检测方法的研究,TP393.08
  10. 基于动态符号执行的代码分析工具的研究,TP309
  11. 智能视频监控系统中人体异常行为检测与识别研究,TP391.41
  12. 文件型恶意程序的定义及防御方法研究与实现,TP309.5
  13. 基于多媒体数据网络通信的隐蔽通信系统的研究与实现,TP393.08
  14. 基于虚拟执行技术的恶意程序检测系统研究与实现,TP309
  15. WSS注浆预加固技术在黄土地铁隧道中的应用研究,U455.4
  16. 基于网络流隐蔽通信技术研究,TP393.08
  17. 道路监控下的运动目标检测和异常行为检测有效方法研究,TP391.41
  18. 一种适用于井下超声波通信的FSK调制解调技术研究,TN914
  19. 基于量子密码的隐蔽通信协议研究与应用,O413
  20. 经济型白领犯罪研究,D917
  21. 基于信息不确定性的军事运输隐蔽性路径的选择问题研究,E233

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com