收藏本站
《杭州电子科技大学》 2009年
收藏 | 手机打开
二维码
手机客户端打开本文

恶意软件行为分析及变种检测技术研究

李剑  
【摘要】:对软件进行行为分析并确定其功能是检测未知恶意软件的一个关键环节。基于静态的行为分析技术虽然可以较为完整地获取程序信息,但也面临着许多挑战,这些挑战包括加壳、加密等传统软件保护技术和恶意软件变种技术。基于动态的行为分析技术可以有效地绕过这些挑战,并可以在较高的系统抽象度层次上获取恶意软件的信息,但动态行为分析系统也受到反调试与反跟踪技术的挑战。在传播过程中,恶意软件通常会使用各种变种技术来逃避检测,如加密、多态和变形技术。针对上述问题,本文对基于动态行为分析的恶意软件变种检测技术进行了研究。主要研究内容如下: 首先针对动态行为分析系统的完整性需求,从理论层面分析构建一个合理动态行为分析系统所需要的必要条件。基于这些必要条件,我们给出了一个基于Intel VT的动态行为分析系统实例。该系统将目标恶意软件和分析工具分别安装在两个不同的操作系统中,通过虚拟机监视器技术进行实时系统调用跟踪,并使用我们提出的最大模式挖掘算法从系统调用序列中挖掘最大模式来对程序进行行为建模。最大模式是指一段系统调用子序列,它反复出现在程序的执行序列中,代表着某个特定的系统功能或程序模块。实验证明:基于Intel VT的行为分析系统能够高效地对恶意程序进行动态行为跟踪和程序行为描述。 其次,对恶意软件变种检测中的关键技术——软件相似度计算技术进行了研究,提出了三种计算方法。(1)基于系统调用序列排列的相似度计算方法使用我们提出的进化相似度算法计算相似度;(2)基于最大模式序列排列的相似度计算方法使用最大模式挖掘算法从系统调用序列中挖掘最大模式序列,然后使用进化相似度算法计算相似度;(3)基于最大模式覆盖率的相似度计算方法忽略程序的线性执行顺序,使用最大模式集合表现程序行为,通过两个恶意软件之间的最大模式交集计算相似度。 最后,在软件相似度计算方法基础之上,对恶意软件变种检测技术进行了研究,提出了三种检测方法:基于系统调用序列排列的变种检测、基于最大模式序列排列的变种检测和基于最大模式覆盖率的变种检测。对比实验结果表明基于序列的方法能够更准确地刻画程序行为和检测恶意变种。其中基于最大模式序列的方法具有更低的误报率,具有更高的实用性。
【学位授予单位】:杭州电子科技大学
【学位级别】:硕士
【学位授予年份】:2009
【分类号】:TP309.5

【引证文献】
中国期刊全文数据库 前1条
1 奚小溪;孙荣会;;恶意软件的行为与检测技术分析[J];安徽建筑工业学院学报(自然科学版);2012年03期
中国硕士学位论文全文数据库 前1条
1 吴凌飞;恶意软件变种间相似度的分析技术研究[D];杭州电子科技大学;2011年
【参考文献】
中国期刊全文数据库 前6条
1 赖英旭;刘增辉;;基于关联规则的未知病毒检测方法研究[J];计算机工程与应用;2008年07期
2 祝恩,殷建平,蔡志平,赵建民;计算机病毒自动变形机理的分析[J];计算机工程与科学;2002年06期
3 金然;魏强;王清贤;;针对等价指令替换变形的归一化研究[J];计算机应用;2008年03期
4 陈亮;郑宁;郭艳华;徐明;胡永涛;;基于Win32 API的未知病毒检测[J];计算机应用;2008年11期
5 徐明,陈纯,应晶;基于系统调用分类的异常检测(英文)[J];软件学报;2004年03期
6 张勐,杨大全,辛义忠,赵德平;计算机病毒变形技术研究[J];沈阳工业大学学报;2004年03期
中国博士学位论文全文数据库 前1条
1 徐明;基于系统调用的异常入侵检测技术及IDS扩展功能的研究[D];浙江大学;2003年
中国硕士学位论文全文数据库 前10条
1 张勐;反变形病毒技术研究及策略分析[D];沈阳工业大学;2004年
2 符鹤;基于系统调用的入侵检测实现与评估[D];中南大学;2005年
3 王宇;基于系统调用异常检测的深度分析方法[D];华中科技大学;2005年
4 王德强;恶意代码设计和分析技术的研究与实现[D];清华大学;2005年
5 邢文利;恶意代码动态分析系统的设计与实现[D];清华大学;2005年
6 刘元勋;变形蠕虫自动检测技术研究[D];山东大学;2007年
7 卢勇;反病毒虚拟机的研究与实现[D];电子科技大学;2007年
8 沈大勇;基于系统调用的行为阻断反病毒技术的研究与实现[D];电子科技大学;2007年
9 雷程炜;间谍软件的隐藏机制及其检测技术[D];电子科技大学;2007年
10 王晓勇;计算机恶意代码传播及防御技术研究[D];西南大学;2007年
【共引文献】
中国期刊全文数据库 前10条
1 奚小溪;孙荣会;;恶意软件的行为与检测技术分析[J];安徽建筑工业学院学报(自然科学版);2012年03期
2 高超;王丽君;;数据挖掘技术在基于系统调用的入侵检测中的应用[J];鞍山科技大学学报;2006年01期
3 马莉;杜鹃;;一种生成最小关联规则集的算法[J];电脑知识与技术;2011年03期
4 马晨;周城;赵丽华;;VMware虚拟机检测技术研究[J];电脑知识与技术;2011年11期
5 盛津芳;谭云桥;王斌;;网络攻击中多态变形技术分析及其对抗策略[J];计算机安全;2007年01期
6 王彩荣;;入侵检测模型实用分析与研究[J];计算机安全;2007年10期
7 王蕊;苏璞睿;杨轶;冯登国;;一种抗混淆的恶意代码变种识别系统[J];电子学报;2011年10期
8 何跃;陈虹;;浅析电视台网站安全的构建[J];福建电脑;2010年12期
9 曾峰;程渊;;计算机蠕虫病毒检测技术分析[J];福建电脑;2011年09期
10 陈虹;汤明月;章三妹;;多态技术加壳软件的实现[J];甘肃科技;2010年15期
中国重要会议论文全文数据库 前2条
1 刘琪;牛文静;顾兆军;;基于API调用序列的恶意代码动态分析方法研究[A];2009年研究生学术交流会通信与信息技术论文集[C];2009年
2 刘琪;牛文静;;正则表达式在恶意代码动态分析中的应用[A];2009通信理论与技术新发展——第十四届全国青年通信学术会议论文集[C];2009年
中国博士学位论文全文数据库 前10条
1 许宪成;基于网络处理器的入侵检测系统设计与性能优化研究[D];华南理工大学;2010年
2 王飞;入侵检测分类器设计及其融合技术研究[D];南京理工大学;2011年
3 邓蔚;垃圾邮件过滤中的敌手分类问题研究[D];电子科技大学;2011年
4 陆剑江;支持工作流系统动态变化的柔性及适应性技术研究[D];苏州大学;2004年
5 左志宏;计算机病毒抽象理论及描述语言研究[D];电子科技大学;2005年
6 尹清波;基于机器学习的入侵检测方法研究[D];哈尔滨工程大学;2007年
7 宋明秋;基于先天免疫的计算机病毒保守模式研究[D];大连理工大学;2007年
8 张波云;计算机病毒智能检测技术研究[D];国防科学技术大学;2007年
9 王祥根;自修改代码逆向分析方法研究[D];中国科学技术大学;2009年
10 余鹏飞;可信移动计算环境体系结构及关键技术研究[D];华中科技大学;2010年
中国硕士学位论文全文数据库 前10条
1 赵晓丽;基于语义分析的网页病毒检测研究[D];中国海洋大学;2010年
2 林清阳;基于虚拟化的恶意代码行为捕获技术研究[D];解放军信息工程大学;2010年
3 张洪波;核心芯片安全缺陷仿真平台的研究与实现[D];解放军信息工程大学;2010年
4 姚为光;软件加壳技术的研究[D];电子科技大学;2011年
5 穆浩英;TrojanUrlDetector:一种基于统计分析的木马URL检测系统[D];西安电子科技大学;2010年
6 李阳;恶意代码检测及其行为分析[D];西安电子科技大学;2010年
7 陈敬林;TrojanAntier:一种基于统计分析的Web木马防范系统[D];西安电子科技大学;2009年
8 杨宇波;恶意代码检测技术的研究[D];北方工业大学;2011年
9 王晓燕;计算机病毒传播模型及检测研究[D];华中师范大学;2011年
10 郭宁;基于属性序约简的恶意代码检测技术研究[D];兰州大学;2011年
【同被引文献】
中国期刊全文数据库 前7条
1 赖英旭;刘增辉;;基于关联规则的未知病毒检测方法研究[J];计算机工程与应用;2008年07期
2 张福勇;齐德昱;;一种采用免疫原理的恶意软件检测方法[J];计算机科学;2010年09期
3 金然;魏强;王清贤;;基于归一化的变形恶意代码检测[J];计算机工程;2008年05期
4 陈亮;郑宁;郭艳华;徐明;胡永涛;;基于Win32 API的未知病毒检测[J];计算机应用;2008年11期
5 卢浩;胡华平;刘波;;恶意软件分类方法研究[J];计算机应用研究;2006年09期
6 郝向东;王开云;;典型恶意代码及其检测技术研究[J];计算机工程与设计;2007年19期
7 卢立蕾;文伟平;;Windows环境木马进程隐藏技术研究[J];信息网络安全;2009年05期
中国硕士学位论文全文数据库 前1条
1 黄沾;主机型恶意程序运行行为监控技术研究[D];电子科技大学;2008年
【二级参考文献】
中国期刊全文数据库 前10条
1 吴刚;赵旭;董永苹;;一个分布式协作的大规模网络恶意代码检测系统[J];大连理工大学学报;2005年S1期
2 董宏,孙永强,候丽敏;抽象事件的时间戳[J];电子学报;1999年11期
3 刘海峰 ,卿斯汉 ,蒙杨 ,刘文清;一种基于审计的入侵检测模型及其实现机制[J];电子学报;2002年08期
4 张岩;缓冲区溢出及对策[J];阜阳师范学院学报(自然科学版);2004年01期
5 张晓磊,张晓明;基于堆栈的缓冲区溢出攻击原理[J];广州大学学报(自然科学版);2004年04期
6 金波,林家骏,王行愚;入侵检测技术评述[J];华东理工大学学报;2000年02期
7 何飞,罗三定,沙莎;基于领域本体的知识关联研究[J];湖南城市学院学报(自然科学版);2005年01期
8 崔国华,李道文;基于系统调用序列的柔性状态机入侵检测模型[J];华中科技大学学报(自然科学版);2003年01期
9 王晓程,刘恩德,谢小权;攻击分类研究与分布式网络入侵检测系统[J];计算机研究与发展;2001年06期
10 谭小彬,王卫平,奚宏生,殷保群;计算机系统入侵检测的隐马尔可夫模型[J];计算机研究与发展;2003年02期
中国硕士学位论文全文数据库 前3条
1 宋海涛;木马攻击防范理论与技术研究[D];南京师范大学;2004年
2 康效龙;网络攻击与攻击性检测技术研究[D];西安电子科技大学;2005年
3 刘晨;蠕虫病毒的研究与防治[D];沈阳工业大学;2005年
【相似文献】
中国期刊全文数据库 前10条
1 赵丽;集成化的异常入侵检测系统[J];电脑开发与应用;2005年08期
2 郝瑞;;实时远程证明方法研究[J];太原大学教育学院学报;2011年S1期
3 谭小彬,王卫平,奚宏生,殷保群;系统调用序列的Markov模型及其在异常检测中的应用[J];计算机工程;2002年12期
4 张桂玲;孙济洲;;基于系统调用顺序和频度特性的入侵检测模型[J];计算机工程;2006年13期
5 赵玉明;张巍;滕少华;;数据挖掘技术在异常检测中的应用[J];微型电脑应用;2007年05期
6 赵欣;谭小彬;奚宏生;;一种改进的基于系统调用的入侵检测算法[J];数据通信;2010年02期
7 陶芬;尹芷仪;傅建明;;基于系统调用的软件行为模型[J];计算机科学;2010年04期
8 全代勇;栾国森;;基于系统调用序列的动态截获和实时仲裁模型[J];科技信息(科学教研);2007年31期
9 孙美凤;黄飞;陈云菁;殷新春;;基于特征模式的马尔可夫链异常检测模型[J];计算机工程;2008年24期
10 富宇;唐国维;刘显德;;基于系统调用序列的程序异常行为检测[J];计算机工程与应用;2006年06期
中国重要会议论文全文数据库 前10条
1 陈杰;;猪瘟检测技术的研究进展[A];首届中国兽药大会——兽医生物制品学、兽医微生物学学术论坛论文集(2008)[C];2008年
2 张献;高圣伟;袁臣虎;张牧;张冠军;杨庆新;;电力变压器局部放电检测技术现状与新技术[A];天津市电机工程学会2009年学术年会论文集[C];2009年
3 袁东瑛;;汽车发动机气缸体曲轴轴承承孔同轴度检测分析[A];四川省汽车工程学会第一届二次年会论文集[C];1991年
4 邓开福;;汽车排气污染物检测[A];四川省汽车工程学会2001年学术年会论文集[C];2001年
5 刘海生;;地下油气泄漏的地球物理地球化学检测技术[A];地球物理调查与资源环境学术研讨会论文集[C];2003年
6 徐江涛;王志亮;鲍恩东;;新城疫检测技术研究进展[A];中国畜牧兽医学会畜牧兽医生物技术学分会暨中国免疫学会兽医免疫分会第六次研讨会论文集[C];2005年
7 程秀芝;张申;任毅;甲贝贝;;锚杆相互耦合理论用于锚固质量监测的研究[A];第十五届全国煤矿自动化学术年会和中国煤炭学会煤矿自动化专业委员会学术会议论文集[C];2005年
8 张博林;;冷轧工作辊表面剥落形式及机理分析[A];全国轧辊技术研讨会论文集[C];2005年
9 杨瑞琴;;安检入口处微量炸药的检测技术[A];中国化学会第二十五届学术年会论文摘要集(下册)[C];2006年
10 夏俊芳;周勇;张平华;;基于虚拟仪器的排种器漏播检测技术研究[A];2007年中国农业工程学会学术年会论文摘要集[C];2007年
中国重要报纸全文数据库 前10条
1 上海 钟建国;Sobig变种病毒造成路由器阻塞[N];电脑报;2003年
2 春晓;日本89式步枪:美国AR-18的变种[N];中国国防报;2005年
3 本报记者 许黎珊;“变种”人民币理财风险依旧[N];市场报;2005年
4 陈芳;“一号通”变种层出不穷[N];通信产业报;2004年
5 记者 杨汛;天价“变种月饼”挑战国家标准[N];北京日报;2006年
6 关心红;玉髓的美丽变种[N];民营经济报;2007年
7 新华;SORL1基因变种增加早老性痴呆风险[N];医药经济报;2007年
8 北京联合大学应用文理学院 马 涛;上半年病毒肆虐 网络安全吃紧[N];中国国门时报;2005年
9 陈立希;为何有人很能“喝”?体内可能有基因变种[N];新华每日电讯;2008年
10 ;网络蠕虫爆发引起关注[N];人民邮电;2005年
中国博士学位论文全文数据库 前10条
1 张小强;几类高效入侵检测技术研究[D];西南交通大学;2006年
2 尹清波;基于机器学习的入侵检测方法研究[D];哈尔滨工程大学;2007年
3 张桂玲;基于软计算理论的入侵检测技术研究[D];天津大学;2006年
4 李红娇;安全操作系统的访问控制与实时报警[D];上海交通大学;2008年
5 陈云芳;分布式入侵检测系统关键技术研究[D];苏州大学;2008年
6 潘哲超;植物青枯菌遗传多样性及致病力分化研究[D];中国农业科学院;2010年
7 吴兴泉;福建马铃薯病毒的分子鉴定与检测技术[D];福建农林大学;2002年
8 陈永芳;我国植物青枯菌的遗传多样性和马铃薯青枯菌的PCR检测技术研究[D];中国农业科学院;2000年
9 史兴键;安全强审计模型研究[D];西北工业大学;2006年
10 夏响华;油气微渗漏理论与检测技术研究[D];成都理工大学;2003年
中国硕士学位论文全文数据库 前10条
1 李剑;恶意软件行为分析及变种检测技术研究[D];杭州电子科技大学;2009年
2 陈泽华;应用系统调用序列技术的实时自适应入侵检测系统的研究[D];天津大学;2004年
3 林夏;基于变长模式系统调用序列的主机入侵检测[D];电子科技大学;2004年
4 池文涛;可信计算环境远程进程行为证明机制研究[D];太原理工大学;2011年
5 郭旭亭;基于程序行为模糊模式识别的病毒检测研究[D];青岛大学;2008年
6 刘泉永;基于系统调用的异常入侵检测系统研究[D];武汉理工大学;2006年
7 黄全伟;基于N-Gram系统调用序列的恶意代码静态检测[D];哈尔滨工业大学;2009年
8 鲁杰;基于主机的入侵检测方法研究[D];北京工业大学;2005年
9 朱朝晖;系统调用在入侵检测中的研究与应用[D];广东工业大学;2008年
10 苏杰;基于系统调用的入侵检测研究[D];华中科技大学;2007年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026