收藏本站
《中国科学技术大学》 2009年
收藏 | 手机打开
二维码
手机客户端打开本文

主机恶意代码检测系统的设计与实现

潘剑锋  
【摘要】: 主机恶意代码检测系统是运行在主机上,检测该计算机中是否存在恶意代码的智能系统,是维护计算机安全极为重要的安全软件。随着国家、社会对计算机的依赖程度日益增长,计算机安全问题就显得日益严峻起来。传统的恶意代码检测如反病毒厂商的杀毒产品,主要是基于特征码扫描的检测技术。特征码扫描检测技术需要预先从已知的恶意代码中提取出特征字节序列存入病毒库,之后再利用匹配算法进行检测。这种方法的明显缺点在于需要预建特征库,而特征库更新显然是滞后于恶意代码的,因此它对未知恶意代码的检测能力极弱,对加壳变形后的恶意代码处理能力也十分有限。 本文致力于从恶意代码的行为上去识别检测,这是由于恶意代码定义的关键点就在于其行为目的的恶意性和结果的破坏性,因此检测的要点也就是如何识别行为的恶意性。本文主要的工作和贡献可归纳为: 1、对恶意代码的工作原理进行深入分析,总结了各类恶意代码使用的核心技术,研究探寻目前恶意代码反检测的主要手段,包括应用层面和内核层面恶意代码的反检测技术实现,以及BIOS固件和CPU微代码植入技术的可行性。 2、针对恶意代码的行为特点,从多处入手研究采用多种方法捕获检测恶意代码行为的方法。为恶意代码信息捕获模块设计实现了如下有效的技术方法: (1)利用用户态和核心态的多种钩挂方法截取程序行为,包括新的系统调用拦截方案、驱动间通讯拦截方案等;利用痕迹扫描技术发现恶意代码留下的包括钩挂代码、隐藏数据在内的多种行为痕迹。 (2)设计实现在CPU硬件支持(单步执行功能支持和最后分支记录功能支持)的辅助下,动态记录程序控制流路径的方法。 (3)针对恶意代码修改破坏内存中的操作系统组件来反检测、反清除的手段,创新性的提出利用虚拟化技术在操作系统中创造一个虚拟的、干净的系统环境,使易受恶意代码破坏的系统组件在另一个环境安全工作。该方案工作效果明显。 (4)为了捕获一些难以截取或常受恶意代码干扰的行为,本文分析CPU硬件虚拟化支持的原理,并提出了基于CPU硬件虚拟化支持(AMD的SVM与Intel的VMX)的行为收集方案。 3、提出一种基于隐马尔可夫模型(HMM)的操作系统环境模型,利用多种手段截获收集的行为数据作为模型观测值来计算被植入rootkit的可疑值,经实验表明对rootkit类恶意代码有较好的检测效果。同时对收集到的动态控制流路径数据,提出了首先建立调用层次树,再利用计算编辑距离判断相似度的方式检测隐藏性恶意代码,实验也取得了良好的结果。 4、主持设计了基于专家系统的恶意代码检测模块,与项目组同学们共同实现了原型系统,模块充分利用了恶意代码信息捕获模块的数据输出。 5、利用恶意代码信息捕获模块、异常检测算法模块、基于专家系统的恶意代码检测模块以及辅助的特征码扫描模块完整实现了一套主机恶意代码检测系统。
【学位授予单位】:

知网文化
【相似文献】
中国期刊全文数据库 前20条
1 徐燕鹏;PC万能防改精灵(下)[J];家庭电子;2003年02期
2 ;CCERT研究新进展[J];中国教育网络;2005年11期
3 ;企业防病毒解决方案设计[J];软件世界;2006年11期
4 王天立;;网页恶意代码的剖析与防范[J];福建电脑;2007年08期
5 庞立会;胡华平;;恶意代码模糊变换技术研究[J];计算机工程;2007年12期
6 卢敏;;“主动”让防护更可靠[J];软件世界;2007年14期
7 陈明奇;;CNCERT/CC 2007年上半年网络安全状况分析[J];信息网络安全;2007年10期
8 ;多起典型网络安全事件被成功处理——CNCERT/CC2007年网络安全事件处理部分案例介绍[J];信息网络安全;2008年07期
9 ;国家计算机网络应急技术处理协调中心四川分中心关于四川省一般网络安全事件的通报[J];通信与信息技术;2008年03期
10 左黎明;;Windows内核恶意代码分析与检测技术研究[J];计算机技术与发展;2008年09期
11 左黎明;徐保根;汤鹏志;刘二根;;网络恶意代码族群增长模型[J];计算机应用;2009年01期
12 肖新光;;安全天下事[J];程序员;2009年02期
13 任敏;;三种死灰复燃的恶意代码的分析和探讨[J];赤峰学院学报(自然科学版);2009年08期
14 李榕;;基于多态变形的恶意代码技术与检测方法[J];中小企业管理与科技(下旬刊);2009年10期
15 李佳;;网络安全形势略有好转风险依旧存在[J];信息网络安全;2009年11期
16 桂佳平;周雍恺;沈俊;蔡继文;刘功申;;基于智能手机恶意代码防范模型的研究[J];计算机技术与发展;2010年01期
17 左黎明;刘二根;汤鹏志;;U盘病毒随机传播模型[J];微电子学与计算机;2010年03期
18 闫谦时;;恶意代码自动分析技术研究[J];电脑知识与技术;2010年24期
19 张登银;赵晓强;;基于M序列的恶意代码分片插入机制[J];计算机技术与发展;2010年10期
20 陆向阳;谢彬;杨晓青;;计算机恶意代码介绍[J];爆轰波与冲击波;2005年02期
中国重要会议论文全文数据库 前10条
1 刘威;杜振华;苏圣魁;;一种恶意代码评估和预测方法的研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
2 奚琪;王清贤;曾勇军;;恶意代码检测技术综述[A];计算机研究新进展(2010)——河南省计算机学会2010年学术年会论文集[C];2010年
3 万琳;廖飞雄;张威;李明亮;;一种恶意代码检测方法的实现[A];第十四届全国容错计算学术会议(CFTC'2011)论文集[C];2011年
4 刘威;刘鑫;杜振华;;2010年我国恶意代码新特点的研究[A];第26次全国计算机安全学术交流会论文集[C];2011年
5 庞立会;;恶意代码变形引擎研究[A];2006年全国理论计算机科学学术年会论文集[C];2006年
6 陆宝华;李科;;强制访问控制是防范恶意代码的有效手段[A];第26次全国计算机安全学术交流会论文集[C];2011年
7 徐娜;;2011年7月网络安全监测数据分析[A];第26次全国计算机安全学术交流会论文集[C];2011年
8 张健;杜振华;曹鹏;张鑫;苏圣魁;;恶意代码检测技术的研究[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
9 张健;舒心;杜振华;曹鹏;苏圣魁;王劲松;;一种评估恶意代码危害性方法的研究[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
10 刘琪;牛文静;;正则表达式在恶意代码动态分析中的应用[A];2009通信理论与技术新发展——第十四届全国青年通信学术会议论文集[C];2009年
中国重要报纸全文数据库 前10条
1 曾;McAfee ePO3.6助企业防范恶意代码[N];电脑商报;2005年
2 边歆;投鼠忌器[N];网络世界;2006年
3 鲁渝京;欧盟研究用3种标准技术应对域名安全漏洞[N];中国质量报;2008年
4 记者 肖扬;网络犯罪正被利益驱动[N];金融时报;2005年
5 记者  肖扬;经济利益驱动网络频受攻击[N];金融时报;2006年
6 门马整理;帮你识别Bot程序[N];计算机世界;2006年
7 记者 向杰;调查显示:三成用户上网莫名染毒[N];科技日报;2007年
8 赵晓涛;中小企业安保有新招[N];网络世界;2009年
9 ;网络安全新威胁:勒索软件[N];网络世界;2005年
10 陈翔;安全威胁要双向防范[N];中国计算机报;2005年
中国博士学位论文全文数据库 前10条
1 潘剑锋;主机恶意代码检测系统的设计与实现[D];中国科学技术大学;2009年
2 李鹏;通信网络恶意代码及其应急响应关键技术研究[D];南京邮电大学;2013年
3 张福勇;面向恶意代码检测的人工免疫算法研究[D];华南理工大学;2012年
4 钟金鑫;恶意代码二进制程序行为分析关键技术研究[D];北京邮电大学;2012年
5 文伟平;恶意代码机理与防范技术研究[D];中国科学院研究生院(软件研究所);2005年
6 孔德光;结合语义的统计机器学习方法在代码安全中应用研究[D];中国科学技术大学;2010年
7 杨天路;网络威胁检测与防御关键技术研究[D];北京邮电大学;2010年
8 张一弛;程序恶意行为识别及其恶意性判定研究[D];解放军信息工程大学;2012年
9 林宏刚;可信网络连接若干关键技术的研究[D];四川大学;2006年
10 张波云;计算机病毒智能检测技术研究[D];国防科学技术大学;2007年
中国硕士学位论文全文数据库 前10条
1 杨婷;基于行为分析的恶意代码检测技术研究与实现[D];电子科技大学;2010年
2 周峰;恶意代码防范技术的研究与实现[D];广东工业大学;2011年
3 蒋俊卿;基于复制行为的恶意代码动态检测技术[D];哈尔滨工业大学;2010年
4 龙小书;基于虚拟执行理论的恶意代码检测技术研究[D];电子科技大学;2010年
5 张茜;云安全环境下的恶意代码前端检测技术研究[D];合肥工业大学;2011年
6 苏圣魁;恶意代码事件信息发布平台的研究[D];天津大学;2010年
7 申文迪;隐蔽恶意代码监控平台的设计与实现[D];电子科技大学;2010年
8 李宗峰;基于特征码分析的计算机恶意代码防治技术研究[D];山东大学;2010年
9 杨宇波;恶意代码检测技术的研究[D];北方工业大学;2011年
10 郭宁;基于属性序约简的恶意代码检测技术研究[D];兰州大学;2011年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978