基于行為分析的惡意代碼識別系統(tǒng)研究與實現.pdf

1、互聯(lián)網的安全問題已經成為人們正常生活中的一大威脅。特別是惡意代碼,每年由于惡意代碼而造成的經濟損失高達數百億美元。由于新的惡意代碼出現的速度越來越快,傳統(tǒng)的基于特征碼的靜態(tài)檢測技術很難發(fā)現未知惡意代碼,而基于行為檢測的惡意代碼檢測技術則可以有效的檢測出未知惡意代碼,因此,開展惡意代碼相關研究具有重要的理論和現實意義。
　　 開發(fā)惡意代碼行為分析系統(tǒng)能夠同實驗室已有的蜜網系統(tǒng)結合起來,彌補蜜網無法識別惡意代碼的不足之處,增強蜜網的

2、功能,實現捕獲和識別的全自動和無監(jiān)管。
　　 本文的主要工作如下:
　　 (1)本文使用了基于調試器技術的行為獲取技術,實現了對樣本行為的準確獲取。通過在虛擬機中使用調試器技術能夠準確的獲取樣本的行為。在虛擬機中運行行為監(jiān)控模塊能夠保證物理主機的安全而不用擔心會被感染病毒,并獲得詳細和完整的行為監(jiān)控報告。
　　 (2)本文使用了基于信息增益的特征權重調整算法選取關聯(lián)度較高的行為,使用了樸素貝葉斯算法實現對樣本性質

3、的識別。本文將樸素貝葉斯算法和基于信息增益的特征權重調整算法結合起來,對已分類樣本進行訓練,建立行為特征庫,使用權重調整算法選取有效的行為作為特征,通過樸素貝葉斯算法進行數據挖掘來識別惡意代碼。
　　 (3)運用虛擬機的自動化技術實現不問斷的自動化獲取樣本行為。通過使用Vmware的VIX API使得獲取樣本行為時不需要人工操作,實現自動操作虛擬機,自動獲取樣本行為和自動獲得行為監(jiān)控報告的能力。
　　 通過在實際環(huán)境中的