二進制程序行為檢測分析平臺.pdf

1、隨著互聯網技術的不斷發(fā)展和應用范圍的不斷擴大,信息安全越來越成為政府,企業(yè)和個人所關注的焦點。近年來,以病毒、蠕蟲、木馬、后門和rootkit等為主要形式的惡意程序正成為這一范疇內的主要研究課題。如何應對日益泛濫的惡意程序并有效地檢測出它們的樣本是所有研究里的重中之重。
　　 新型的惡意程序除了具備攻擊性與破壞性等傳統(tǒng)特性外,更開發(fā)出了多樣性,隱蔽性和自我保護性等新型特性,并以此獲得了更為強大的攻擊力和生存能力。如何有效地瓦解惡

2、意程序所使用的代碼迷惑,加殼以及反調試技術已成為公認的難點。與此同時惡意程序的檢測技術也呈出現不斷發(fā)展的趨勢,出現了動態(tài)特征碼掃描、虛擬機查毒、行為特征識別等方法,但是這些方式方法中最成熟,利用也最廣泛的還是傳統(tǒng)的基于特征碼的檢測技術。
　　 因此,如何有效地對抗目前惡意程序所擁有的新型特性,準確地檢測出某個程序是否符合惡意程序的規(guī)范,并彌補當前檢測技術的不足成為了本文的研究目的。為達到以上目標,本文提出了一個基于動態(tài)分析的行為

3、檢測平臺,通過設置隱蔽的監(jiān)視斷點來捕獲二進制程序運行時所執(zhí)行的各種行為,同時廣泛地調研當前惡意程序的行為規(guī)范來構造行為規(guī)則庫,從而通過規(guī)則匹配的方式來判定該程序的行為是否符合某些惡意行為的標準,最后對該程序的威脅度進行評定并輸出綜合結論。
　　 該平臺最重要的特性就是能夠有效應對當前惡意程序所使用的隱蔽和反檢測技術,針對惡意程序的多樣性,隱蔽性和自我保護性提出相應的檢測方案。本文的主要工作內容如下:
　　 1.重點研究當

4、今惡意程序所普遍使用的反檢測技術,從而對癥下藥:
　　 2.從靜態(tài)分析與動態(tài)分析兩方面來介紹目前檢測惡意程序的主要方法,提出每種方法的局限與不足并嘗試給出可能的解決方案;
　　 3.針對當前惡意程序所使用的技術和安全檢測所存在的不足給出基于動態(tài)分析二進制程序行為的檢測方案,該方案繼承了動態(tài)檢測的優(yōu)點并能在一定程度上彌補其不足;
　　 4.給出二進制程序行為檢測分析平臺的概要設計和詳細設計,描述整個平臺的運行流程,