论文摘要
计算机网络的广泛应用给我们带来了方便的同时,也产生了许多意想不到的问题,计算机安全就是其中一个突出的问题。各种恶意代码如病毒,蠕虫,木马等的广泛传播更是对个人用户及公司用户造成了巨大的威胁,杀毒软件的出现为这种情况提供了一个有效的解决方案。传统的杀毒软件基于特征字符串来匹配并发现恶意代码,但是这种方式现在面临越来越大的挑战,基于程序执行时的行为来动态检测恶意代码是一种新的思路,并不断被研究人员们发展和完善。基于行为的检测方式主要使用程序执行时调用的API作为数据来源,所以能有效地屏蔽恶意代码使用加壳、变形等技术所造成的影响,它使用恶意代码的特征行为(如自我复制行为)取代传统的特征字符串来进行匹配,从而能够改善特征库需要时常更新以及更新不及时的问题。我们对程序执行时的行为监控所能获取信息的详细和完备程度,以及我们采用何种方式使用这些信息来匹配特征行为,决定了动态检测对恶意代码的检测效果。本文在用户态API和内核态API两种数据来源之外,提出了底层驱动之间传递信息时使用的IRP数据包作为新的数据来源,尽可能的减少了因为恶意代码在用户层和内核层使用各种技术逃避监控而造成的监控信息的不完善的情况。针对目前监控手段不完善,获取信息不够完备的情况,本文简化了过去提出的一种检测方法(SRR),在误报率差别不大的情况下能够解决一类特定问题。实验结果证明IRP数据包结合新的检测方法,检测效果要远远好于内核API结合SRR的检测方法。实验也说明了使用IRP数据包作为数据来源的必要性以及新的检测方法只会造成有限的误报。
论文目录
摘要Abstract第1章 绪论1.1 课题研究的目的及背景1.2 动态检测技术1.2.1 动态数据采集1.2.2 基于特征行为的匹配技术1.2.3 动态检测和传统基于特征字符串方法的比较1.3 主要研究方向1.3.1 数据采集1.3.2 特征行为描述与检测1.4 本文研究工作概述1.5 本文的内容安排第2章 动态检测技术的历史与现状2.1 数据来源的发展与演变2.1.1 用户态API 作为数据来源2.1.2 带参数的用户态API 作为数据来源2.1.3 内核API 作为数据来源2.1.4 内核态API 仍然不够可靠2.1.5 小结2.2 特征行为的描述与检测2.2.1 恶意代码的本质特征2.2.2 对Melissa 病毒的分析,GSR2.2.3 GSR 实现2.2.4 SRRAT2.2.5 小结2.3 存在的问题2.4 本章小结第3章 基于IRP 数据包和经典定义的动态检测技术3.1 IRP 数据包3.1.1 IRP 数据包是最底层的数据来源3.1.2 使用IRP 数据包的可靠性3.1.3 监控IRP3.2 经典恶意代码定义3.2.1 现有描述存在的问题3.2.2 如何描述经典定义3.2.3 PE 文件格式3.3 系统实现3.3.1 ASRR 实现3.3.2 SRR 实现3.4 本章小结第4章 实验结果与分析4.1 IRP 数据包优于其他数据来源4.1.1 IRP 数据包优于用户态API4.1.2 IRP 数据包优于内核态API4.2 关注结果的方法优于关注过程的方法4.2.1 检测率分析4.2.2 误报率分析4.3 补充实验的结果与分析4.3.1 用户态数据结果分析4.3.2 IRP 数据包结果分析4.4 本章小结结论参考文献附录一附录二致谢
相关论文文献
标签:自我复制行为论文; 数据包论文; 动态检测论文;
