首页> 正文

恶意代码行为自动化分析的研究与实现

2020-11-30阅读(563)

恶意代码行为自动化分析的研究与实现

论文摘要

随着信息技术,特别是互联网的高速发展,网络安全正受到越来越多关注。在网络安全的诸多威胁中,恶意代码无疑危害最大,这也成为网络安全研究领域的焦点,针对恶意代码的研究工作也从各个方面展开。本文关注于恶意代码行为自动化分析技术。恶意代码行为自动化分析是恶意代码应急响应、计算机取证的基础。通过分析恶意代码的功能、目的,能够快速地为系统恢复、损失评估提供详细信息。其次,它是检测工具的技术准备,能够为恶意代码检测的判断依据——行为特征码的提取提供直接的参考依据。此外,恶意代码汇集了攻击者处心积虑设计以对抗各种安全工具的技术和技巧。分析恶意代码,有助于安全人员及时了解恶意攻击的新手段和突破方式,做到知己知彼,百战不殆。恶意代码行为自动化分析有两个关键问题,行为监控技术和行为自动化分析技术。当前的产品或研究使用的监控技术主要是调试、API Hook或仿真技术,前两者难以对抗采用了反调式和反Hook技术的恶意代码,而仿真技术实现十分复杂,资源消耗过大;在行为分析方面,大多数系统仅列出了样本的行为,没有对行为威胁度进行判断。为了解决这些问题,本文的研究目标是:实现一个分析过程自动化、分析环境健壮、分析过程隐蔽、分析结果全面的系统,最终提供包含样本功能、目的和行为威胁度的准确分析报告。本文首先概括了恶意代码分析技术及反分析技术的研究现状,分析现有系统的原理和缺陷。第二,在分析各类行为监控技术的基础上,提出了一种新的基于二进制代码流切片的执行监控技术,该技术对常规二进制程序进行指令级监控、分析,支持自定义(粗粒度和细粒度)的程序代码分析粒度,能对抗具有反调式、反Hook技术的恶意程序,与传统监控技术相比,该技术在监控粒度和隐蔽性等方面均更胜一筹。第三,研究恶意行为自动化分析技术,对恶意行为进行分类、建模,提取恶意行为特征,构建恶意行为规则库,并模拟安全专家人工识别恶意程序的方法,自动化分析样本行为,判定行为威胁度。该方法支持可量化威胁度的自动化分析,提高了分析过程的自动化和智能化程度,减轻了分析人员的工作负担。根据本文提出的监控技术和行为自动化分析技术,实现了恶意代码行为自动化分析系统MalAnalysis。实验证明,该系统与同类工具相比,具有明显优势。因此,本系统能够为恶意代码后期处置提供快速、准确的直接分析资料,进而提高安全应急响应速度,为构筑全方位、多角度安全防御体系创造充分条件。

论文目录

  • 摘要
  • Abstract
  • 第一章 绪论
  • 1.1 恶意代码发展现状
  • 1.2 课题的研究意义和目的
  • 1.3 课题的国内外研究现状
  • 1.4 课题主要研究工作和组织结构
  • 第二章 恶意代码及分析技术机理研究
  • 2.1 恶意代码及攻击行为模型
  • 2.1.1 相关定义
  • 2.1.2 恶意代码攻击行为模型
  • 2.2 恶意代码的分析技术
  • 2.2.1 静态分析
  • 2.2.2 动态分析
  • 2.3 恶意代码的反分析技术
  • 2.3.1 加壳技术
  • 2.3.2 多态变形技术
  • 2.3.3 反跟踪技术
  • 2.4 本章小结
  • 第三章 恶意代码行为自动化分析系统总体框架
  • 3.1 总体目标
  • 3.1.1 研究目标
  • 3.1.2 系统功能目标
  • 3.1.3 关键问题
  • 3.2 部署环境及总体架构
  • 3.2.1 部署环境
  • 3.2.2 总体架构
  • 3.3 程序系统行为监控平台架构
  • 3.3.1 代码切片执行引擎
  • 3.3.2 引擎应用程序接口部件
  • 3.4 恶意行为自动化分析系统架构
  • 3.4.1 行为捕获部件
  • 3.4.2 行为分析部件
  • 3.4.2.1 行为分类分析
  • 3.4.2.2 行为威胁度分析
  • 3.4.3 行为分析报告产生
  • 3.5 恶意代码行为自动化分析的应用范围
  • 3.6 本章小结
  • 第四章 行为监控关键技术与详细设计
  • 4.1 行为监控概述
  • 4.2 行为监控跟踪技术
  • 4.2.1 虚拟机技术
  • 4.2.2 系统调用挂钩技术
  • 4.2.3 API 跟踪技术
  • 4.3 基于二进制代码流的切片执行监控技术
  • 4.3.1 基本块生成
  • 4.3.2 基本块预处理
  • 4.3.3 基本块执行
  • 4.4 本章小结
  • 第五章 恶意行为分析关键技术及详细设计
  • 5.1 恶意行为分析流程
  • 5.2 恶意行为分类及行为特征提取
  • 5.2.1 传播行为分析与行为特征提取
  • 5.2.1.1 利用电子邮件传播
  • 5.2.1.2 利用移动介质传播
  • 5.2.1.3 利用共享目录传播
  • 5.2.2 隐藏行为分析与行为特征提取
  • 5.2.2.1 隐藏进程
  • 5.2.2.2 隐藏文件
  • 5.2.2.3 关闭或删除安全工具及服务
  • 5.2.3 破坏行为分析与行为特征提取
  • 5.2.3.1 安全漏洞利用行为
  • 5.2.3.2 破坏系统文件行为
  • 5.2.3.3 信息泄漏行为
  • 5.3 行为关联分析
  • 5.4 恶意行为建模
  • 5.4.1 建模方法
  • 5.4.2 基于Attack Tree 的恶意代码行为建模
  • 5.4.2.1 传播树模型
  • 5.4.2.2 隐藏树模型
  • 5.2.2.3 破坏树模型
  • 5.5 本章小结
  • 第六章 MalAnalysis 分析系统的实现
  • 6.1 程序系统行为监控平台的实现
  • 6.1.1 代码切片执行引擎的实现
  • 6.1.2 引擎应用程序接口的设计与实现
  • 6.2 恶意行为自动化分析系统的实现
  • 6.2.1 行为捕获的设计与实现
  • 6.2.2 恶意行为规则库的设计与实现
  • 6.2.2.1 规则库结构
  • 6.2.2.2 规则语法
  • 6.2.2.3 规则协议中的数据结构
  • 6.2.3 行为威胁度自动判定
  • 6.3 实验结果与分析
  • 6.3.1 样本测试实例分析
  • 6.3.2 对比实验
  • 6.4 本章小结
  • 第七章 总结与展望
  • 7.1 工作总结
  • 7.2 未来展望
  • 致谢
  • 参考文献
  • 攻硕期间取得的研究成果

    • 相关论文文献

    标签:;  ;  ;  ;  ;  

    恶意代码行为自动化分析的研究与实现
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5