資源描述:
《基于行為特征的惡意程序動(dòng)態(tài)分析與檢測方法研究 (1)》由會(huì)員上傳分享����,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1�����、學(xué)校代碼10701學(xué)號1022110209TN8分類2號TP301密級公開西安電子科技大學(xué)博士學(xué)位論文基于行為特征的惡意程序動(dòng)態(tài)分析與檢測方法研究作者姓名:曹瑩一級學(xué)科:計(jì)算機(jī)科學(xué)與技術(shù)二級學(xué)科:計(jì)算機(jī)應(yīng)用技術(shù)學(xué)位類型:工學(xué)博士指導(dǎo)教師姓名�、職稱:高琳教授苗啟廣教授提交日期:2014年12月StudyonDynamicBehaviorBasedMalwareAnalysisandDetectionAdissertationsubmittedtoXIDIANUNIVERSITYinpartialfulfillmentoftherequirementsfor
2、thedegreeofDoctorofPhilosophyByCaoying(ComputerScienceandTechnology)Supervisor:Prof.Gaolin,Prof.MiaoqiguangDecember2014西安電子科技大學(xué)學(xué)位論文獨(dú)創(chuàng)性(或創(chuàng)新性)聲明秉承學(xué)校嚴(yán)謹(jǐn)?shù)膶W(xué)風(fēng)和優(yōu)良的科學(xué)道德��,本人聲明所呈交的論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的研究成果�����。盡我所知�,除了文中特別加以標(biāo)注和致謝中所羅列的內(nèi)容以外,論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果���;也不包含為獲得西安電子科技大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書而使用過的
3�����、材料����。與我一同工作的同志對本研究所做的任何貢獻(xiàn)均已在論文中做了明確的說明并表示了謝意。申請學(xué)位論文與資料若有不實(shí)之處�����,本人承擔(dān)一切的法律責(zé)任���。本人簽名:日期:西安電子科技大學(xué)關(guān)于論文使用授權(quán)的說明本人完全了解西安電子科技大學(xué)有關(guān)保留和使用學(xué)位論文的規(guī)定���,即:研究生在校攻讀學(xué)位期間論文工作的知識產(chǎn)權(quán)單位屬西安電子科技大學(xué)。學(xué)校有權(quán)保留送交論文的復(fù)印件��,允許查閱和借閱論文�;學(xué)校可以公布論文的全部或部分內(nèi)容���,可以允許采用影印�、縮印或其它復(fù)制手段保存論文��。同時(shí)本人保證���,畢業(yè)后結(jié)合學(xué)位論文研究課題再撰寫的文章一律署名單位為西安電子科技大學(xué)�����。(保密的論文在解密后遵守
4��、此規(guī)定)本學(xué)位論文屬于保密���,在年解密后適用本授權(quán)書。本人簽名:導(dǎo)師簽名:日期:日期:摘要摘要惡意程序是計(jì)算機(jī)系統(tǒng)面臨的首要威脅���,代碼混淆的流行��,惡意程序自動(dòng)生成器在互聯(lián)網(wǎng)上肆意傳播�,都造成了變種及未知惡意程序呈爆炸式增長����,極大地挑戰(zhàn)著傳統(tǒng)基于靜態(tài)特征碼的惡意程序檢測方法。為了對抗惡意程序威脅�,研究者提出了基于行為特征的惡意程序檢測?;谛袨樘卣鞯膼阂獬绦驒z測包括三個(gè)環(huán)節(jié):行為數(shù)據(jù)采集,行為特征抽象�,以及行為檢測算法設(shè)計(jì)。這三個(gè)環(huán)節(jié)相輔相成���,共同保證了惡意程序檢測的準(zhǔn)確率�。本論文圍繞這三個(gè)環(huán)節(jié),對基于行為特征的惡意程序檢測問題進(jìn)行了深入的研究��,主要取得了以
5�����、下研究成果�����。1.在行為數(shù)據(jù)采集研究中�,設(shè)計(jì)并實(shí)現(xiàn)了虛擬機(jī)監(jiān)控器層的程序行為監(jiān)控系統(tǒng)Osiris,解決了虛擬機(jī)監(jiān)控器與客戶操作系統(tǒng)之間的語義缺口問題��。Osiris系統(tǒng)采用開源模擬器Qemu作為虛擬執(zhí)行組件���,程序行為監(jiān)控全部實(shí)現(xiàn)于虛擬機(jī)系統(tǒng)中有著最高特權(quán)等級的虛擬機(jī)監(jiān)控器層����,因此���,惡意程序難以逃避分析�。通過向開源模擬器Qemu的CPU模擬例程中加入API監(jiān)控框架,Osiris系統(tǒng)能夠?qū)Ρ环治龀绦虬l(fā)起的API調(diào)用進(jìn)行監(jiān)控���;同時(shí)�,Osiris系統(tǒng)采用雙虛擬機(jī)體系結(jié)構(gòu)對惡意程序運(yùn)行所需的網(wǎng)絡(luò)運(yùn)行環(huán)境����,以及常見主機(jī)事件進(jìn)行模擬,能夠最大限度激發(fā)惡意程序的潛伏行為��。實(shí)
6��、驗(yàn)表明��,Osiris系統(tǒng)是一種新型惡意程序行為分析工具�����,為后續(xù)行為檢測打下了良好的數(shù)據(jù)基礎(chǔ)�。2.在程序行為特征抽象研究中�,提出了安全敏感最小行為特征以及相應(yīng)的行為抽象算法。一個(gè)API的輸出參數(shù)或是返回值會(huì)成為另一個(gè)API的輸入?yún)?shù)�,API之間存在數(shù)據(jù)依賴關(guān)系,這是一種相對穩(wěn)定的程序行為特征���。論文提出以操作系統(tǒng)敏感資源為中心�����,對API調(diào)用按照數(shù)據(jù)依賴關(guān)系進(jìn)行較低等級聚合�����,并對API參數(shù)進(jìn)行抽象描述����,最終從API調(diào)用序列中抽象出被分析程序?qū)Π踩舾械牟僮飨到y(tǒng)資源進(jìn)行操作的模式,也就是安全敏感最小行為序列�����,并嵌入到高維特征向量空間作為后續(xù)行為檢測算法的輸入����。程
7、序相似性比較�,聚類以及分類實(shí)驗(yàn)都驗(yàn)證了安全敏感最小行為能夠有效刻畫惡意程序的特征行為。3.提出了靜態(tài)分析特征與動(dòng)態(tài)分析特征相結(jié)合的惡意程序檢測思路���。同時(shí)設(shè)計(jì)了基于TotallyCorrectiveBoosting思想的特征選擇算法BoostFS����,將用于解決分類問題的Boosting算法擴(kuò)展到特征選擇問題。BoosFS算法使用DecisionStump作為子分類器�,每一輪迭代BoostFS算法尋找的子分類器其分類結(jié)果向量與所有已生成子分類器的分類結(jié)果向量盡可能正交。由于DecisionStump是僅含有一個(gè)結(jié)點(diǎn)的決策樹�,一個(gè)訓(xùn)練好的DecisionStum
8、p又相當(dāng)于一個(gè)篩選出的特征�,所有生成的子分類器恰相當(dāng)于一個(gè)篩選出的特征子集,并且
