基于內(nèi)核級API的惡意軟件行為檢測與分析.pdf

1、隨著惡意軟件數(shù)量的飛速增長，當(dāng)下信息安全已經(jīng)是互聯(lián)網(wǎng)必須面對的問題。大型網(wǎng)絡(luò)安全事件如火焰、震網(wǎng)等頻頻發(fā)生并大量曝光，在信息安全各類威脅中，惡意代碼由于其較高的針對性，并且長期潛伏，具有高攻擊技巧等特點(diǎn)，已經(jīng)成為如今信息安全最大威脅。于是，亟需一種高準(zhǔn)確性的惡意軟件分析技術(shù)對惡意代碼進(jìn)行分析。
　　首先，分析研究了惡意代碼相關(guān)特征和已有惡意代碼檢測技術(shù)，發(fā)現(xiàn)了各類別分析檢測方法中存在對未知惡意代碼無法檢測、檢測結(jié)果準(zhǔn)確性低的問題。

2、
　　其次，總結(jié)各類Windows下API函數(shù)與行為分析特征，并對行為特征完成分類，在這個基礎(chǔ)上，提出了基于內(nèi)核級API行為分析的惡意代碼檢測方法。通過監(jiān)控系統(tǒng)API調(diào)用及內(nèi)核重要數(shù)據(jù)來獲取相關(guān)可執(zhí)行代碼的行為，基于內(nèi)核級API檢測技術(shù)，抽象出由目標(biāo)層，準(zhǔn)則層，實(shí)施層的惡意軟件檢測模型。在目標(biāo)層中完成惡意代碼的整體檢測與信息匯總，在準(zhǔn)則層，通過對惡意軟件行為的分析與分類，將準(zhǔn)則層分為，文件行為，注冊表行為，進(jìn)程行為，網(wǎng)絡(luò)行為四個部

3、分。在實(shí)施層完成具體的詳細(xì)功能檢測，并將結(jié)果信息傳入準(zhǔn)則層，再由準(zhǔn)則層向上發(fā)至目標(biāo)層。
　　最后，在以上模型基礎(chǔ)上，實(shí)現(xiàn)了惡意行為檢測系統(tǒng)。通過子模塊的詳細(xì)設(shè)計，由內(nèi)核層模塊系統(tǒng)、判斷相關(guān)子系統(tǒng)和系統(tǒng)界面三部分組成，完成相關(guān)子模塊的詳細(xì)設(shè)計。其中內(nèi)核層模塊系統(tǒng)包括文件行為檢測模塊、進(jìn)程行為檢測模塊、注冊表行為檢測模塊、網(wǎng)絡(luò)行為檢測模塊及內(nèi)核行為檢測模塊五個模塊。實(shí)現(xiàn)了對多種內(nèi)核級代碼隱藏行為、DLL鏈接庫、APC注入等惡意行為的檢