基于最小行為的惡意程序自動(dòng)檢測(cè)技術(shù)研究.pdf

1、互聯(lián)網(wǎng)技術(shù)的出現(xiàn)使人們的生活和工作方式發(fā)生了巨大轉(zhuǎn)變，人們?cè)谙硎苤鳬nternet提供的便利的同時(shí)，也承受著惡意程序帶來的威脅，在數(shù)字化時(shí)代的今天，與惡意程序的對(duì)抗已成為信息領(lǐng)域的焦點(diǎn)。
　　傳統(tǒng)的惡意程序檢測(cè)技術(shù)是基于靜態(tài)特征碼的檢測(cè)，而惡意程序采用的混淆、加密、加殼等技術(shù)，使基于靜態(tài)特征碼的檢測(cè)技術(shù)變得無能為力。惡意程序動(dòng)態(tài)分析技術(shù)解決了混淆、加密、加殼等技術(shù)問題，但惡意程序的多態(tài)性及變種病毒卻是動(dòng)態(tài)分析無法解決的問題。為了解

2、決多態(tài)性與變種的問題，惡意程序分析領(lǐng)域出現(xiàn)了基于行為的分析技術(shù)，通過行為抽象技術(shù)把低層語(yǔ)義的數(shù)據(jù)信息抽象為高層行為，從而很好的解決了多態(tài)性與變種病毒的問題。但在安全領(lǐng)域卻沒有具體給出行為的概念，且沒有明確規(guī)定行為粒度的大小，無法充分發(fā)揮行為分析的優(yōu)勢(shì)。另外，針對(duì)惡意程序及其新種類的大量出現(xiàn)，使得惡意程序的自動(dòng)化分析技術(shù)成為必然趨勢(shì)。
　　基于以上問題，本文實(shí)現(xiàn)了基于最小行為的惡意程序自動(dòng)化檢測(cè)系統(tǒng)的原型。整個(gè)檢測(cè)系統(tǒng)分為三個(gè)關(guān)鍵模

3、塊：惡意程序 API(Application Programming Interface)信息監(jiān)控模塊，通過對(duì)模擬器 QEMU修改，完成對(duì)惡意程序的API信息捕獲；惡意程序行為特征向量生成模塊，通過行為抽象算法將低層語(yǔ)義的API抽象為高層語(yǔ)義的最小行為，并生成行為特征向量；惡意代碼分類檢測(cè)及自學(xué)習(xí)模塊，通過結(jié)合聚類分析與分類分析的優(yōu)點(diǎn)完成了對(duì)未知惡意程序的分類，并實(shí)現(xiàn)惡意程序特征庫(kù)的自動(dòng)演化。文章最后給出了該系統(tǒng)的實(shí)驗(yàn)分析結(jié)果，實(shí)驗(yàn)結(jié)果