主機(jī)惡意代碼檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、主機(jī)惡意代碼檢測(cè)系統(tǒng)是運(yùn)行在主機(jī)上，檢測(cè)該計(jì)算機(jī)中是否存在惡意代碼的智能系統(tǒng)，是維護(hù)計(jì)算機(jī)安全極為重要的安全軟件。隨著國(guó)家、社會(huì)對(duì)計(jì)算機(jī)的依賴(lài)程度日益增長(zhǎng)，計(jì)算機(jī)安全問(wèn)題就顯得日益嚴(yán)峻起來(lái)。傳統(tǒng)的惡意代碼檢測(cè)如反病毒廠商的殺毒產(chǎn)品，主要是基于特征碼掃描的檢測(cè)技術(shù)。特征碼掃描檢測(cè)技術(shù)需要預(yù)先從已知的惡意代碼中提取出特征字節(jié)序列存入病毒庫(kù)，之后再利用匹配算法進(jìn)行檢測(cè)。這種方法的明顯缺點(diǎn)在于需要預(yù)建特征庫(kù)，而特征庫(kù)更新顯然是滯后于惡意代碼的，

2、因此它對(duì)未知惡意代碼的檢測(cè)能力極弱，對(duì)加殼變形后的惡意代碼處理能力也十分有限。
　　 本文致力于從惡意代碼的行為上去識(shí)別檢測(cè)，這是由于惡意代碼定義的關(guān)鍵點(diǎn)就在于其行為目的的惡意性和結(jié)果的破壞性，因此檢測(cè)的要點(diǎn)也就是如何識(shí)別行為的惡意性。本文主要的工作和貢獻(xiàn)可歸納為：
　　 l、對(duì)惡意代碼的工作原理進(jìn)行深入分析，總結(jié)了各類(lèi)惡意代碼使用的核心技術(shù)，研究探尋目前惡意代碼反檢測(cè)的主要手段，包括應(yīng)用層面和內(nèi)核層面惡意代碼的反檢測(cè)技

3、術(shù)實(shí)現(xiàn)，以及BIOS固件和CPU微代碼植入技術(shù)的可行性。
　　 2、針對(duì)惡意代碼的行為特點(diǎn)，從多處入手研究采用多種方法捕獲檢測(cè)惡意代碼行為的方法。為惡意代碼信息捕獲模塊設(shè)計(jì)實(shí)現(xiàn)了如下有效的技術(shù)方法：
　　 (1)利用用戶(hù)態(tài)和核心態(tài)的多種鉤掛方法截取程序行為，包括新的系統(tǒng)調(diào)用攔截方案、驅(qū)動(dòng)間通訊攔截方案等；利用痕跡掃描技術(shù)發(fā)現(xiàn)惡意代碼留下的包括鉤掛代碼、隱藏?cái)?shù)據(jù)在內(nèi)的多種行為痕跡。
　　 (2)設(shè)計(jì)實(shí)現(xiàn)在CPU硬件

4、支持(單步執(zhí)行功能支持和最后分支記錄功能支持)的輔助下，動(dòng)態(tài)記錄程序控制流路徑的方法。
　　 (3)針對(duì)惡意代碼修改破壞內(nèi)存中的操作系統(tǒng)組件來(lái)反檢測(cè)、反清除的手段，創(chuàng)新性的提出利用虛擬化技術(shù)在操作系統(tǒng)中創(chuàng)造一個(gè)虛擬的、干凈的系統(tǒng)環(huán)境，使易受惡意代碼破壞的系統(tǒng)組件在另一個(gè)環(huán)境安全工作。該方案工作效果明顯。
　　 (4)為了捕獲一些難以截取或常受惡意代碼干擾的行為，本文分析CPU硬件虛擬化支持的原理，并提出了基于CPU硬件虛

5、擬化支持(AMD的SVM與Intel的VMX)的行為收集方案。
　　 3、提出一種基于隱馬爾可夫模型(HMM)的操作系統(tǒng)環(huán)境模型，利用多種手段截獲收集的行為數(shù)據(jù)作為模型觀測(cè)值來(lái)計(jì)算被植入rootkit的可疑值，經(jīng)實(shí)驗(yàn)表明對(duì)rootkit類(lèi)惡意代碼有較好的檢測(cè)效果。同時(shí)對(duì)收集到的動(dòng)態(tài)控制流路徑數(shù)據(jù)，提出了首先建立調(diào)用層次樹(shù)，再利用計(jì)算編輯距離判斷相似度的方式檢測(cè)隱藏性惡意代碼，實(shí)驗(yàn)也取得了良好的結(jié)果。
　　 4、主持設(shè)計(jì)了