随着信息技术,特别是互联网的高速发展,网络安全正受到越来越多关注。在网络安全的诸多威胁中,恶意代码无疑危害最大,这也成为网络安全研究领域的焦点,针对恶意代码的研究工作也从各个方面展开。本文关注于恶意代码行为自动化分析技术。恶意代码行为自动化分析是恶意代码应急响应、计算机取证的基础。通过分析恶意代码的功能、目的,能够快速地为系统恢复、损失评估提供详细信息。其次,它是检测工具的技术准备,能够为恶意代码检测的判断依据——行为特征码的提取提供直接的参考依据。此外,恶意代码汇集了攻击者处心积虑设计以对抗各种安全工具的技术和技巧。分析恶意代码,有助于安全人员及时了解恶意攻击的新手段和突破方式,做到知己知彼,百战不殆。恶意代码行为自动化分析有两个关键问题,行为监控技术和行为自动化分析技术。当前的产品或研究使用的监控技术主要是调试、API Hook或仿真技术,前两者难以对抗采用了反调式和反Hook技术的恶意代码,而仿真技术实现十分复杂,资源消耗过大;在行为分析方面,大多数系统仅列出了样本的行为,没有对行为威胁度进行判断。为了解决这些问题,本文的研究目标是:实现一个分析过程自动化、分析环境健壮、分析过程隐蔽、分析结果全面的系统,最终提供包含样本功能、目的和行为威胁度的准确分析报告。本文首先概括了恶意代码分析技术及反分析技术的研究现状,分析现有系统的原理和缺陷。第二,在分析各类行为监控技术的基础上,提出了一种新的基于二进制代码流切片的执行监控技术,该技术对常规二进制程序进行指令级监控、分析,支持自定义(粗粒度和细粒度)的程序代码分析粒度,能对抗具有反调式、反Hook技术的恶意程序,与传统监控技术相比,该技术在监控粒度和隐蔽性等方面均更胜一筹。第三,研究恶意行为自动化分析技术,对恶意行为进行分类、建模,提取恶意行为特征,构建恶意行为规则库,并模拟安全专家人工识别恶意程序的方法,自动化分析样本行为,判定行为威胁度。该方法支持可量化威胁度的自动化分析,提高了分析过程的自动化和智能化程度,减轻了分析人员的工作负担。根据本文提出的监控技术和行为自动化分析技术,实现了恶意代码行为自动化分析系统MalAnalysis。实验证明,该系统与同类工具相比,具有明显优势。因此,本系统能够为恶意代码后期处置提供快速、准确的直接分析资料,进而提高安全应急响应速度,为构筑全方位、多角度安全防御体系创造充分条件。