论文摘要
随着计算机的普及和互联网的迅猛发展,病毒、木马等恶意程序的数量和形式正在迅速增加,由此造成的破坏和经济损失也越来越严重。因此,反病毒的研究一直是网络安全领域的一个重点和热点。行为分析由于具有检测未知的病毒、木马等非法程序的能力,而成为反病毒、反木马等领域的一个新的研究方向。与基于特征码的静态扫描技术不同的是,它根据应用程序在Windows操作系统中运行时表现出来的动态行为特征,判别程序是否合法。本文以病毒Win32 API调用来描述其动态行为,通过对常见病毒行为的研究,建立常见病毒行为与Win32 API调用之间的对应关系,并通过Windows调试技术,设计出病毒API调用的捕获引擎及相应的捕获插件,同时结合虚拟机技术实现了一个病毒动态行为自动化分析系统。最后本文建立了一个基于自动化分析系统生成的行为特征的朴素贝叶斯分类器,用于检测测试样本。实验结果表明,该分类器可以较好地进行病毒检测且误报率低,即本文自动化分析系统生成的动态特征可以较好地描述病毒的动态行为。
论文目录
摘要ABSTRACT一、绪论1.1 课题背景1.2 本文的研究工作1.3 本文的组织二、现有反病毒技术概述2.1 计算机病毒2.1.1 计算机病毒的定义2.1.2 计算机病毒的国内外发展现状与趋势2.2 常见的病毒检测技术介绍2.2.1 特征码技术2.2.2 虚拟机技术2.2.3 启发式扫描技术2.2.3.1 静态启发式扫描技术2.2.3.2 行为分析技术2.2.4 主动防御三、常见病毒行为的分析与归纳3.1 常见病毒安装阶段的行为分析3.2 常见病毒在线程/进程启动阶段的行为分析3.3 常见病毒行为与Win32 API 的对应关系四、基于病毒行为的自动化分析系统设计与实现4.1 系统概述4.2 病毒动态行为自动化分析系统关键技术4.2.1 动态行为捕获技术4.2.2 虚拟机控制技术4.3 系统设计与实现4.3.1 系统框架4.3.2 运行环境4.3.2.1 物理机运行环境4.3.2.2 虚拟机运行环境4.3.3 数据库设计4.3.4 系统组件设计4.3.4.1 系统结构4.3.4.2 自动入库4.3.4.3 控制程序4.3.4.4 捕获引擎4.3.4.5 HOOKDLL五、数据分析及实验5.1 数据筛选5.2 数据建模5.3 算法应用5.4 实验方法及结果六、结论与展望致谢参考文献攻读硕士期间发表论文附录
相关论文文献
标签:病毒论文; 行为分析论文; 动态行为论文; 朴素贝叶斯算法论文;
