資源描述:
《惡意代碼行為自動化分析的研究與實現(xiàn)》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、摘要隨著信息技術(shù),特別是互聯(lián)網(wǎng)的高速發(fā)展,網(wǎng)絡(luò)安全正受到越來越多關(guān)注。在網(wǎng)絡(luò)安全的諸多威脅中,惡意代碼無疑危害最大,這也成為網(wǎng)絡(luò)安全研究領(lǐng)域的焦點,針對惡意代碼的研究工作也從各個方面展開。本文關(guān)注于惡意代碼行為自動化分析技術(shù)。惡意代碼行為自動化分析是惡意代碼應(yīng)急響應(yīng)、計算機取證的基礎(chǔ)。通過分析惡意代碼的功能、目的,能夠快速地為系統(tǒng)恢復(fù)、損失評估提供詳細信息。其次,它是檢測工具的技術(shù)準(zhǔn)備,能夠為惡意代碼檢測的判斷依據(jù)——行為特征碼的提取提供直接的參考依據(jù)。此外,惡意代碼匯集了攻擊者處心積慮設(shè)計以對抗各種安全工具的技術(shù)和技巧。分析惡意代碼,有助于安全人員及時了解惡意
2、攻擊的新手段和突破方式,做到知己知彼,百戰(zhàn)不殆。惡意代碼行為自動化分析有兩個關(guān)鍵問題,行為監(jiān)控技術(shù)和行為自動化分析技術(shù)。當(dāng)前的產(chǎn)品或研究使用的監(jiān)控技術(shù)主要是調(diào)試、APIHook或仿真技術(shù),前兩者難以對抗采用了反調(diào)式和反Hook技術(shù)的惡意代碼,而仿真技術(shù)實現(xiàn)十分復(fù)雜,資源消耗過大;在行為分析方面,大多數(shù)系統(tǒng)僅列出了樣本的行為,沒有對行為威脅度進行判斷。為了解決這些問題,本文的研究目標(biāo)是:實現(xiàn)一個分析過程自動化、分析環(huán)境健壯、分析過程隱蔽、分析結(jié)果全面的系統(tǒng),最終提供包含樣本功能、目的和行為威脅度的準(zhǔn)確分析報告。本文首先概括了惡意代碼分析技術(shù)及反分析技術(shù)的研究現(xiàn)狀,
3、分析現(xiàn)有系統(tǒng)的原理和缺陷。第二,在分析各類行為監(jiān)控技術(shù)的基礎(chǔ)上,提出了一種新的基于二進制代碼流切片的執(zhí)行監(jiān)控技術(shù),該技術(shù)對常規(guī)二迸制程序進行指令級監(jiān)控、分析,支持自定義(粗粒度和細粒度)的程序代碼分析粒度,能對抗具有反調(diào)式、反H00k技術(shù)的惡意程序,與傳統(tǒng)監(jiān)控技術(shù)相比,該技術(shù)在監(jiān)控粒度和隱蔽性等方面均更勝一籌。第三,研究惡意行為自動化分析技術(shù),對惡意行為進行分類、建模,提取惡意行為特征,構(gòu)建惡意行為規(guī)則庫,并模擬安全專家人工識別惡意程序的方法,自動化分析樣本行為,判定行為威脅度。該方法支持可量化威脅度的自動化分析,提高了分析過程的自動化和智能化程度,減輕了分析人
4、員的工作負(fù)擔(dān)。根據(jù)本文提出的監(jiān)控技術(shù)和行為自動化分析技術(shù),實現(xiàn)了惡意代碼行為自動化分析系統(tǒng)Ma‰alySis。實驗證明,該系統(tǒng)與同類工具相比,具有明顯優(yōu)勢。因摘要此,本系統(tǒng)能夠為惡意代碼后期處置提供快速、準(zhǔn)確的直接分析資料,進而提高安全應(yīng)急響應(yīng)速度,為構(gòu)筑全方位、多角度安全防御體系創(chuàng)造充分條件。關(guān)鍵詞:惡意代碼,行為監(jiān)控,行為分析,惡意行為威脅度,惡意行為規(guī)則庫ⅡAbs仃.a(chǎn)ctAbstraCtWith廿ledevelopm鉍tofi舶nnationtechnolo鼢especiallytheInt鋤吒ne咖rksecuri夠issu鼯arebeingiIl∞e
5、_嬲i11百yconcemed.MaliCiouScodehaSbecomethefocuSofrese刪linne細od(sec面夠11lisp印erconccrI塔a吡omaticbehaⅥor鋤alySistec量lIliqueofmaliciouscode.Autom撕cbeha譏oraIlalysisofmalwareisme旬硼dationofMalwareEmerg鋤cyResponSe鋤dComputerFo砌lsic.Itismeprocessofdet朗:IlinjngmebehaviorandpmpoScofa百V饑s鋤ple,wtlich
6、providesspecficin向肌ation向rsystemr髂tore0rlosseValuation.SeCond,itisaneceSsa巧st印t0deVeIop嗽novaltoolsalldbehaVjorSi印atIlrefordetection毛00ls.Fu也crmore,Ⅱ1erearediverseskillsiIImalwareitselfdcsi印cdtocoullte肌iIlescc嘶哆tools.Byanalyzingmalwarebcha_vior'itishelpmlfors砌tyexpertstouIlderSt鋤dnewm
7、easur髑,鍬lddevelopnewdetectiontechlliqu髓.Beharvior把童cillgaHld姐alySistecIlniquearet、7l,ocriticalprobleI】陷.Currentsyst鋤suesdebugg%APIHook0rⅥrtualMachiIleEmulatI∞to昀_cepro鏟鋤behavioLButmef.0衄eron餾caIlnot鋤aIyzemalwarellsing鋤ti-debugor鋤ti—h00ktcchmq啪,觚dmeIataroneisvefycomple馬c0姍esmoreresour
8、∞.onⅡleoth鐘h