基于QEMU的惡意程序行為檢測研究.pdf

1、互聯(lián)網(wǎng)技術給人們的生活各個方面提供巨大便利，但另一方面也為惡意程序的產(chǎn)生和傳播提供了方便，給信息系統(tǒng)造成嚴重的安全威脅。隨著計算機系統(tǒng)虛擬化技術的發(fā)展，虛擬機（Virtual Machine，VM）的應用領域愈加廣泛，利用虛擬機對惡意程序的檢測技術已經(jīng)成為當前的研究熱點之一。
　　本文基于虛擬機監(jiān)視器研究程序行為的分析及檢測技術。通過虛擬機監(jiān)視器，獲取程序運行時的虛擬機系統(tǒng)底層信息，從計算機系統(tǒng)資源域的角度綜合分析程序行為，以此為

2、基礎檢測惡意程序行為。本文首先分析 QEMU及其相關技術，以及程序行為檢測方法。其次本文研究基于QEMU的程序行為檢測模型：基于QEMU對程序運行時的系統(tǒng)內(nèi)存、內(nèi)核基本事件、磁盤文件和網(wǎng)絡信息等數(shù)據(jù)信息進行捕獲并重構；采用C4.5算法建立決策樹的方式對捕獲及重構到的數(shù)據(jù)分析，以此判定程序是否存在惡意行為?；谠撃Ｐ?，本文最后設計與實現(xiàn)出對應的程序行為檢測系統(tǒng)，并將其用于實際的程序行為檢測。檢測結果表明所提出的檢測模型以及相應的檢測系統(tǒng)能