資源描述:
《惡意程序檢測與分類系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、西安電子科技大學(xué)學(xué)位論文獨(dú)創(chuàng)性(或創(chuàng)新性)聲明秉承學(xué)校嚴(yán)謹(jǐn)?shù)膶W(xué)分和優(yōu)良的科學(xué)道德,本人聲明所呈交的論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。盡我所知,除了文中特別加以標(biāo)注和致謝中所羅列的內(nèi)容以外,論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果;也不包含為獲得西安電子科技大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書而使用過的材料。與我一同工作的同志對本研究所做的任何貢獻(xiàn)均已在論文中做了明確的說明并表示了謝意。申請學(xué)位論文與資料若有不實(shí)之處,本人承擔(dān)一切的法律責(zé)任。本人簽名:日期西安電子科技大學(xué)關(guān)于論文使用授權(quán)的說明本人完全了解
2、西安電子科技大學(xué)有關(guān)保留和使用學(xué)位論文的規(guī)定,即:研究生在校攻讀學(xué)位期間論文工作的知識(shí)產(chǎn)權(quán)單位屬西安電子科技大學(xué)。學(xué)校有權(quán)保留送交論文的復(fù)印件,允許查閱和借閱論文;學(xué)??梢怨颊撐牡娜炕虿糠謨?nèi)容,可以允許采用影印、縮印或其它復(fù)制手段保存論文。同時(shí)本人保證,畢業(yè)后結(jié)合學(xué)位論文研究課題再攥寫的文章一律署名單位為西安電子科技大學(xué)。(保密的論文在解密后遵守此規(guī)定)本學(xué)位論文屬于保密,在年解密后適用本授權(quán)書。本人簽名:日期導(dǎo)師簽名:日期摘要摘要由于計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展以及惡意程序編碼水平的提高,傳統(tǒng)的惡意程序檢測技術(shù)的不足已經(jīng)越來越明
3、顯,很難滿足人們對信息安全的需求。基于行為的惡意程序檢測技術(shù)是利用惡意程序的特有行為特征來檢測程序惡意性的方法,它能很好地檢測未知惡意程序。這種惡意程序檢測技術(shù)可以很好地適應(yīng)惡意程序逐漸呈現(xiàn)的新特點(diǎn),無疑具有巨大的優(yōu)越性和廣闊的發(fā)展空間,應(yīng)該在今后相當(dāng)長時(shí)間內(nèi)代表著惡意程序檢測技術(shù)的發(fā)展趨勢。本文從樣本程序的API調(diào)用信息中提取出惡意程序行為特征,實(shí)現(xiàn)了一個(gè)基于行為特征的惡意程序檢測與分類系統(tǒng)。本文從系統(tǒng)的需求出發(fā),設(shè)計(jì)了系統(tǒng)的體系結(jié)構(gòu)和各個(gè)模塊的功能接口,并對系統(tǒng)中的系統(tǒng)管理與調(diào)度模塊、預(yù)處理與靜態(tài)分析模塊、部分動(dòng)態(tài)分析
4、模塊和部分檢測分類模塊的內(nèi)容進(jìn)行了實(shí)現(xiàn)。其中系統(tǒng)管理和調(diào)度模塊負(fù)責(zé)對樣本文件的管理和樣本分析過程中各個(gè)功能模塊的調(diào)度;預(yù)處理與靜態(tài)分析模塊負(fù)責(zé)將用戶導(dǎo)入的粗糙的樣本處理成系統(tǒng)可以直接分析的樣本,并在不運(yùn)行樣本的情況下提取其靜態(tài)文件信息;動(dòng)態(tài)分析模塊中使用QEMU作為樣本運(yùn)行的沙盒環(huán)境,并在QEMU的虛擬機(jī)監(jiān)控層采集樣本的API調(diào)用信息,解決了傳統(tǒng)的APIhook機(jī)制捕獲API的不足;檢測分類模塊中采用決策樹算法來構(gòu)建分類器,模擬了智能的決策過程并有效解決了多分類的問題。此外,本文還從軟件工程的角度對系統(tǒng)的用戶交互和數(shù)據(jù)庫進(jìn)
5、行了規(guī)范化的設(shè)計(jì)與實(shí)現(xiàn),并且詳細(xì)描述了數(shù)據(jù)在系統(tǒng)內(nèi)部的邏輯流向和邏輯變換過程。通過大量的惡意程序樣本對系統(tǒng)進(jìn)行測試的結(jié)果表明,本系統(tǒng)具有較高的分類準(zhǔn)確率和較低的誤報(bào)率,且能快速生成未知程序行為報(bào)告提供給反病毒分析人員進(jìn)一步深入分析。關(guān)鍵詞:惡意程序應(yīng)用程序編程接口(API)QEMU決策樹ABSTRACTAbstractWiththedevelopmentofcomputernetworkandimprovementofmalwareprogramming,traditionalmalwaredetectionmethods
6、seemobviouslyinadequate,failingtosatisfytheneedofpeopleforinformationsecurity.Themalwaredetectionbasedonbehaviorisamethodwhichachievesdetectionthroughmakinguseofthepeculiarbehaviorfeaturesofmalware.Itdoeswellindetectingtheunknownmalware.Thismalwaredetectiontechniq
7、uecouldbeadjustedtotheemergingnewfeaturesofmalware,whichhasgreatsuperiorityandbroadspacefordevelopmentundoubtedly.Consequently,itcouldbethedevelopmenttendencyofmalwaredetectioninalongtime.ThisdissertationextractsthemalwarebehaviorfeaturefromAPIcallinginformationof
8、samplingprograms,furthermoreimplementsamalwaredetectionandclassificationsystembasedonbehaviorfeatures.Tomeetthedemandofsystem,thisdissertationdesignsthe