恶意代码行为提取及分类系统

摘要

近年来，随着互联网技术的兴起，恶意代码也随之泛滥成灾，使企业或个人的计算机安全受到严重威胁，窃密、盗号、网络欺诈事件频频发生，经济利益受到严重损失[1]。面对每日捕获到如此庞大的恶意代码样本，如何进行有效的判定、分类和评估，成为反病毒厂商长期探索的方向，也是当下技术研究的热点。
　　本系统尝试解决以上问题，从恶意代码动态分析的行为事件中进行聚类、归纳，并结合反病毒工程师的经验筛选预处理后，形成一系列检测点，最终根据这些检测点，建立模型，分别对决策树、神经网络、贝叶斯等流行数据挖掘技术建立模型，并训练测试，经过横向对比，认为朴素贝叶斯算法最为适合本需求，其达到了99％以上的未知判定的准确率，已经达到实验室后端样本分析和自动化判定的上线要求。
　　另外，本系统还从恶意代码的五个方面进行归类分级，分别从感染性、窃密性、主机破坏性、网络资源影响性和主机资源影响性五个方面对恶意代码进行不同维度的评估，并提出评估的标准。通过恶意代码行为分析的数据进一步提炼，成为恶意代码库的分类依据中的一个标准。
　　系统在实现的过程，引入了kvm虚拟机用以提取恶意代码时的运行环境，并针对其编写自动化调度模型。系统为了有效描述恶意代码的诸多属性，并提供良好的扩展性。
　　本系统属于公司主要研发项目，目前已经正式投入到生产线中，在自动化行为提取功能的基础上，对恶意代码未知检测和分类管理方面，取得到很大的成效。

目录

恶意代码行为提取及分类系统

MALICIOUS CODE BEHAVIOR EXTRACTION AND CLASSIFICATION SYSTEM

摘 要

Abstract

目 录

第1章 绪 论

1.1 课题背景及研究的目的和意义

1.1.1 术语及定义

1.1.2 恶意代码描述及其标准

1.2 国内外研究现状

1.2.1 基于虚拟化技术的恶意代码行为

1.2.2 恶意代码分类法

1.2.3 恶意代码的危害评估

1.2.4 基于XML的恶意代码描述规范

1.3 本论文章节安排及介绍

第2章 系统研究内容及理论依据

2.1 恶意代码的行为检测点分析

2.1.1 程序的API调用对象分析

2.1.2 由API调用序列检测点的形成

2.2 基于检测点的未知恶意代码判定

2.2.1 数据挖掘算法介绍

2.2.2 测试样本的来源及实验的标准环境

2.2.3 基于决策树的挖掘

2.2.4 基于神经网络的挖掘

2.2.5 基于朴素贝叶斯的挖掘

2.2.6 结果的分析比较

2.2.7 结论

2.3 恶意代码的危害度评估

2.3.1 危害度的评估原则

2.3.2 危害度的分类定义

2.3.3 危害度的数据支撑依据

2.4 本章小结

第3章 系统需求分析与总体设计

3.1 系统概述

3.2 业务需求分析

3.2.1 系统的业务定位

3.2.2 系统的生产环境

3.2.3 系统的功能描述

3.2.4 系统的性能及运维要求

3.3 系统总体设计

3.3.1 系统架构设计

3.3.2 相关开发技术及调研

3.4 本章小结

第4章 系统详细设计

4.1 系统模块构成

4.2 系统接口设计及开发规范

4.2.1 数据载体AVML的定义

4.2.2 SQS任务调度接口规范

4.3 核心模块构成

4.3.1 恶意代码行为分析模块

4.3.2 恶意代码未知检测模块

4.3.3 恶意代码样本库

4.4 数据库逻辑定义

4.4.1 恶意代码库

4.4.2 任务状态管理库

4.5 本章小结

第5章 系统的实现与测试

5.1 恶意代码行为监控的实现

5.1.1 注册表内核监控驱动的实现

5.1.2 文件监控驱动的实现

5.1.3 进程监控驱动的实现

5.1.4 用户态调度模块的实现

5.1.5 虚拟机调度模块的核心调试实现

5.2 数据库的实现

5.2.1 分析任务状态库

5.2.2 恶意代码库

5.3 界面展示

5.4 系统测试

5.4.1 测试环境说明

5.4.2 功能测试

5.4.3 性能测试

5.5 本章小结

总 结

参考文献

哈尔滨工业大学学位论文原创性声明及使用授权说明

致 谢

个人简历