首页> 正文

基于决策树的恶意程序行为检测系统Malware Sandbox设计与实现

2020-12-14阅读(193)

基于决策树的恶意程序行为检测系统Malware Sandbox设计与实现

论文摘要

反病毒厂商每天都要收到数以万计的可疑程序样本,工程师需要从海量可疑文件中找出真正的恶意程序,以提取病毒特征码,从而更新病毒特征数据库。本题的目标是开发出一套基于程序行为的恶意程序分析检测系统Malware Sandbox,用以高效快捷的判定样本是否恶意程序,并生成具体的行为报告,帮助反病毒工程快速的找到恶意程序和提取其病毒特征码。本文的基本思想是使用API hook技术提取程序运行过程中的API调用序列;然后根据API调用序列上下文关系提取程序高层行为数据;在训练阶段用大量的高层行为数据构建C5.0决策树分类模型;利用决策树分类模型模拟反病毒工程师的逻辑判断过程判断未知样本的恶意性。本文的主要工作量和创新点有如下几项:1.在长期的病毒样本处理过程中,总结出了110种程序行为特征和26种文件特征作为研究对象。2.现行行为检测系统CWSandbox等都认为API调用序列反应程序行为,通过hook程序API的调用提取API调用序列,以此序列作为研究对象。本文不直接研究API调用序列,而是研究从API序列中根据API调用上下文的关联性提取的高层行为(High level behavior),以这种高层行为作为研究目标数据,用机器学习的方法构建恶意程序分类模型。这种结合了上下文关系的高层行为比单纯的API更加意义丰富,更能反应程序行为本质。本文首先采用微软Detours开发库来hook系统API,提取API序列。但是Detours在应用上有一个难点,必须为每一个API编写一个hook函数,这势必增加开发难度,使程序结构复杂化。本文在深入研究Detours hook原理后,改进了其原有的hook机制,改进后的detours只需要一个通用的hook函数就能处理任意API hook,不需要为hook一个新API而添加或者修改任何代码,实现“以数据驱动程序,而非代码驱动程序”。在高层行为提取时,将API调用表示成Prolog语言的事实定义,将高层行为表示成Prolog规则定义,充分利用Prolog逻辑处理能力,准确的提取程序行为。3.检测系统运行在一个VMWare虚拟环境中提取样本程序API调用序列。虚拟系统使用Vix虚拟机自动控制技术对虚拟环境进行自动化控制,从而使得API序列提取过程可以无需人工参与,高效自动的完成。4.本文引入了典型正常行为特征用于分类决策。相比其他行为检测系统只关注恶意程序行为特征而言,Malware Sandbox引入的正常行为特征可以有效的降低检测误报率。实验得出Malware Sandbox恶意程序行为检测系统具有较高的检出率和较低的误报率,能快速的生产未知程序行为报告提供给反病毒分析人员进一步深入分析。然而本检测系统也存在无法解决的缺点:病毒程序的特殊性要求程序运行在虚拟环境中运行,然而有些病毒则可以通过反虚拟机技术逃避检测,从而影响了本系统的检测率。

论文目录

  • 摘要
  • Abstract
  • 1 绪论
  • 1.1 恶意程序的危害
  • 1.2 病毒和反病毒技术的发展
  • 1.3 恶意程序行为检测技术研究现状
  • 1.4 本系统应用背景及意义
  • 1.5 课题研究目标和研究主题
  • 1.6 论文组织
  • 2 恶意程序检测的理论和关键技术
  • 2.1 PE 文件结构
  • 2.1.1 基本机构
  • 2.1.2 导出表
  • 2.1.3 获取 API 函数地址
  • 2.2 Hook 原理和Detours 技术
  • 2.2.1 API hook 原理
  • 2.2.2 Detour 技术
  • 2.2.3 Detours 技术的改进方法
  • 2.3 程序特征定义
  • 2.3.1 程序特征收集及其相关 API 集合
  • 2.3.2 行为特征的结构化描述
  • 2.4 决策树理论
  • 2.4.1 分类问题简述
  • 2.4.2 决策树与决策树的建立
  • 2.5 VMWare 虚拟机控制技术Vix
  • 2.5.1 Vix 简述
  • 2.5.2 Vix 常用功能
  • 3 系统设计和实现
  • 3.1 系统概述
  • 3.2 系统开发目标和要求
  • 3.3 系统总体设计
  • 3.4 API 调用序列采集程序的实现
  • 3.4.1 TraceMaster
  • 3.4.2 采集模块 Detect.dll
  • 3.4.3 通用hook 函数
  • 3.4.4 API 调用记录输出模块
  • 3.5 程序特征提取
  • 3.5.1 行为特征提取
  • 3.5.2 文件特征提取
  • 3.5.3 虚拟环境行为特征采集系统
  • 3.5.4 建立特征库
  • 3.6 基于决策树的恶意程序判定
  • 3.6.1 决策树创建
  • 3.6.2 系统输出模块
  • 4 系统评测
  • 4.1 效率分析
  • 4.2 准确率测评
  • 5 全文总结
  • 5.1 本文的主要贡献和亮点
  • 5.2 下一步的工作
  • 参考文献
  • 致谢

    • 相关论文文献

    • [1].Enlarged-end tool for friction stir lap welding towards hook defect controlling[J]. China Welding 2020(01)
    • [2].Effect of Sleeve Plunge Depth on Interface/Mechanical Characteristics in Refill Friction Stir Spot Welded Joint[J]. Acta Metallurgica Sinica(English Letters) 2020(04)
    • [3].基于HOOK的U盘文档自动添加水印方法的研究与实现[J]. 网络安全技术与应用 2020(11)
    • [4].基于HOOK和过滤驱动的双层文件防泄密技术[J]. 湖北民族学院学报(自然科学版) 2019(04)
    • [5].具有hook机制的过滤驱动加解密模型[J]. 高技术通讯 2016(07)
    • [6].Set Out With A Bang or A Whimper?[J]. Beijing Review 2015(01)
    • [7].尿白蛋白免疫比浊法的HOOK效应及与干化学法的一致性比较[J]. 中国中西医结合肾病杂志 2020(03)
    • [8].回填式搅拌摩擦点焊接头界面迁移及hook缺陷演变研究[J]. 有色金属加工 2019(05)
    • [9].Subsurface macro-inclusions and solidified hook character in aluminum-killed deep-drawing steel slabs[J]. International Journal of Minerals Metallurgy and Materials 2014(06)
    • [10].HOOK技术在网络隐蔽通信中的应用[J]. 四川大学学报(自然科学版) 2011(03)
    • [11].Modeling the Hook Depth Distribution of Pelagic Longlining in the Equatorial Area of Indian Ocean[J]. Journal of Ocean University of China 2012(04)
    • [12].Clinical Classification and Treatment Strategy of Hamate Hook Fracture[J]. Journal of Huazhong University of Science and Technology(Medical Sciences) 2010(06)
    • [13].基于Hook和轮询检测机制的屏幕共享技术[J]. 计算机工程与应用 2009(05)
    • [14].Hook技术在远程监视键盘输入中的应用[J]. 河北建筑工程学院学报 2012(04)
    • [15].基于HOOK技术的进程管理系统研究[J]. 计算机工程与设计 2014(07)
    • [16].5个大豆AT-hook基因GmAHLs的克隆与定位分析[J]. 植物资源与环境学报 2017(04)
    • [17].AT-hook蛋白的最新研究进展[J]. 基因组学与应用生物学 2020(02)
    • [18].AT-hook蛋白的研究进展[J]. 中国农业科技导报 2009(05)
    • [19].番茄AT-hook基因家族的鉴定及胁迫条件下的表达分析[J]. 植物遗传资源学报 2016(02)
    • [20].Analyses of possible risk factors for subacromial impingement syndrome[J]. World Journal of Orthopedics 2012(01)
    • [21].水稻AT-hook基因家族生物信息学分析[J]. 植物学报 2014(01)
    • [22].Hook Benefit Evaluation on the Increase of Urban Construction Land and the Decrease of Rural Construction Land in the Suburbs of Chongqing City,China[J]. Asian Agricultural Research 2011(03)
    • [23].基于Hook技术的文件透明加密原型系统的设计与实现[J]. 网络安全技术与应用 2020(06)
    • [24].基于HOOK技术的“短信劫持”型手机木马取证[J]. 中国刑警学院学报 2017(04)
    • [25].Go Fishing[J]. 阅读 2019(ZC)
    • [26].全局钩子在.Net平台的实现[J]. 电脑知识与技术 2009(35)
    • [27].Chinese Steelyar Protected as Intangible Cultural Heritage[J]. China & the World Cultural Exchange 2009(06)
    • [28].Lessons on a Lake[J]. 中学生百科 2011(14)
    • [29].CT引导下hook-wire定位在肺小结节胸腔镜切除术中的应用价值[J]. 肿瘤影像学 2013(04)
    • [30].外周血HBsAb的酶联免疫吸附测定与“HOOK效应”[J]. 国际检验医学杂志 2013(21)

    标签:;  ;  ;  ;  ;  

    基于决策树的恶意程序行为检测系统Malware Sandbox设计与实现
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5