基于內核級API的惡意軟件行為檢測與分析.pdf

1、隨著惡意軟件數量的飛速增長，當下信息安全已經是互聯網必須面對的問題。大型網絡安全事件如火焰、震網等頻頻發(fā)生并大量曝光，在信息安全各類威脅中，惡意代碼由于其較高的針對性，并且長期潛伏，具有高攻擊技巧等特點，已經成為如今信息安全最大威脅。于是，亟需一種高準確性的惡意軟件分析技術對惡意代碼進行分析。
　　首先，分析研究了惡意代碼相關特征和已有惡意代碼檢測技術，發(fā)現了各類別分析檢測方法中存在對未知惡意代碼無法檢測、檢測結果準確性低的問題。

2、
　　其次，總結各類Windows下API函數與行為分析特征，并對行為特征完成分類，在這個基礎上，提出了基于內核級API行為分析的惡意代碼檢測方法。通過監(jiān)控系統(tǒng)API調用及內核重要數據來獲取相關可執(zhí)行代碼的行為，基于內核級API檢測技術，抽象出由目標層，準則層，實施層的惡意軟件檢測模型。在目標層中完成惡意代碼的整體檢測與信息匯總，在準則層，通過對惡意軟件行為的分析與分類，將準則層分為，文件行為，注冊表行為，進程行為，網絡行為四個部

3、分。在實施層完成具體的詳細功能檢測，并將結果信息傳入準則層，再由準則層向上發(fā)至目標層。
　　最后，在以上模型基礎上，實現了惡意行為檢測系統(tǒng)。通過子模塊的詳細設計，由內核層模塊系統(tǒng)、判斷相關子系統(tǒng)和系統(tǒng)界面三部分組成，完成相關子模塊的詳細設計。其中內核層模塊系統(tǒng)包括文件行為檢測模塊、進程行為檢測模塊、注冊表行為檢測模塊、網絡行為檢測模塊及內核行為檢測模塊五個模塊。實現了對多種內核級代碼隱藏行為、DLL鏈接庫、APC注入等惡意行為的檢