基于语义的win32 PE病毒行为检测方法研究

来源 :南开大学 | 被引量 : 0次 | 上传用户:lf7891
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着科学科技的发展,尤其是信息化进程的不断加快,计算机及互联网在人们日常生活中发挥的作用越来越大,普及率也越来越高。计算机在各方面给人们带来便利、高效率的同时,计算机及网络的安全问题也接踵而至,计算机病毒每年都会造成巨大的经济损失。   计算机病毒的不断出现也带动了反病毒技术的发展,反病毒的研究主要以如何检测程序是病毒程序为出发点,例如常用的基于特征值匹配技术,通过与病毒库中的特征值进行匹配,来判定程序是不是病毒程序。为了防止自身被检测出来,计算机病毒针对特征值匹配的方法采取了变形技术。本文以病毒使用的变形技术为研究对象,分析病毒使用的几种变形技术,设计了基于语义的病毒行为检测方法,以判断程序隐藏恶意行为的情况。   本文针对Win32 PE病毒,通过反汇编手段,设计反汇编模块,获取程序的汇编代码,使用设计的中间表示形式对汇编代码进行转化,并建立设计程序流程图用以描述病毒。使用中间语言建立恶意行为模板,设计行为模板与待检测程序流程图进行指令匹配的方法。流程图与模板存在相同指令的匹配时,利用变量的定义使用关系来确定模板表示的恶意行为在被检测的程序中是否存在。   实验结果表明,对采用病毒变形技术变形的代码进行检测,使用基于定义使用关系的语义方法是有效的。该方法对于变形技术中的无效指令插入技术、程序流程改变技术、寄存器替换技术完全有效,对于相同功能指令替换技术部分有效。对实际病毒文件检测也证明,该方法对病毒及其变种有较好的检测效果。
其他文献
当今时代科技迅猛发展,互联网上出现了越来越多的三维数据,而形式概念分析是以二维数据为基础的,不能满足对此类数据进行挖掘研究的需求,因此无法从中获取到有价值的信息。随
随着网络的日益发展,使用流媒体系统观看节目成为不可抵挡的趋势,它在逐渐抢占传统有线电视的媒体市场。基于P2P的流媒体系统在充分利用了网络中大量节点资源的条件下,确保了
随着数字音乐在网络中的不断发展,不仅使得广大的音乐爱好者可以通过计算机自动获取所喜爱的音乐,而且引起了计算机科学家及工程技术人员对自动音乐信息检索的极大研究兴趣。然
近年来,随着越来越多人群踩踏、恐怖袭击以及其他公共安全事件的发生,作为群体行为监控、分析、预警基础的人群异常事件检测已经成为智能监控领域中亟需解决的问题之一。然而
随着互联网技术的飞速发展,越来越多的数字内容开始在互联网上传播,数字内容服务已经成为互联网行业中发展最快、最有前景的领域之一。但是,数字内容通过网络传播时极易被非法获
随着云计算技术的推广,涌现了许多优秀的云计算平台,其聚合了大量硬件资源和软件资源,并采用虚拟化技术实现动态伸缩服务量,按需提供服务。为确保云平台正常运转,必须对整个云架构
随着信息技术和互联网的发展,基于流式数据的应用越来越多,传统的计算架构已经无法满足这类应用的需求。本文针对于基于数据采集和在线统计分析等Web应用的现实问题,设计并实现
随着信息科技的不断进步,智能手机设备正日渐普及,移动互联技术也在飞速发展,强大而丰富的手机应用功能为人们的日常生活、学习和工作带来了极大的便利。   在这之中,Android
P2P流媒体应用是目前网络应用研究中的热点之一,数据调度作为P2P流媒体系统设计中的一个关键性问题得到了广泛的关注。目前现有的相关P2P流媒体数据调度策略大多是在请求节点
随着现代网络存储技术的不断深入发展与广泛应用,网络集群服务与主机多路径技术成为信息系统容灾与安全解决方案中的两种重要核心技术。本研究课题将利用微软MPIO多路径框架