基于Ether的惡意軟件動(dòng)態(tài)分析.pdf

1、隨著計(jì)算機(jī)技術(shù)的高速發(fā)展及其在全球范圍內(nèi)各行各業(yè)中的迅速普及，互聯(lián)網(wǎng)已滲透到人們生活中的方方面面，成為人們生活中不可或缺的一部分。它能夠?yàn)槿藗兲峁┛焖偌皶r(shí)的通信和數(shù)據(jù)傳輸。用戶通過互聯(lián)網(wǎng)可以自由地瀏覽和交換文件。毋庸置疑，互聯(lián)網(wǎng)給人們的工作和生活帶來許多便利，但同時(shí)也帶來了許多問題。尤其是近年來，惡意軟件不僅給企業(yè)和用戶造成了巨大的經(jīng)濟(jì)損失，甚至威脅的國家的安全，這給互聯(lián)網(wǎng)的應(yīng)用帶來了嚴(yán)峻的挑戰(zhàn)。當(dāng)前，由于國內(nèi)大多數(shù)用戶的網(wǎng)絡(luò)安全意識(shí)薄

2、弱，而惡意軟件給人們帶來的危害有增強(qiáng)的趨勢，因此，如何建立一個(gè)快速有效的網(wǎng)絡(luò)安全早期預(yù)警系統(tǒng)，已成為計(jì)算機(jī)安全領(lǐng)域的重要目標(biāo)。
　　 與此同時(shí)，隨著惡意代碼作者技術(shù)水平的提高，他們通過使用加殼、反虛擬環(huán)境等技術(shù)，使得傳統(tǒng)的程序靜態(tài)分析法在應(yīng)對(duì)未知惡意軟件時(shí)顯得乏力。當(dāng)前，程序動(dòng)態(tài)分析法在惡意代碼檢測中有著不可替代的作用。大多數(shù)的程序動(dòng)態(tài)分析法用系統(tǒng)調(diào)用API函數(shù)模擬程序的行為，選擇適當(dāng)?shù)乃惴▉磉x擇程序的特征向量，并利用支持向量機(jī)

3、來實(shí)現(xiàn)對(duì)程序的分類。
　　 在本文中，我們提出一個(gè)新的概念——偏差率，它反映了在支持向量機(jī)中，不同的特征對(duì)分類的影響?；诖?，我們將本動(dòng)態(tài)分析系統(tǒng)搭建如下:首先，我們利用基于虛擬環(huán)境XEN的分析工具Ether，來監(jiān)控程序的系統(tǒng)調(diào)用API函數(shù)序列。Ether采用硬件虛擬擴(kuò)展技術(shù)，存在于目標(biāo)操作系統(tǒng)的外部，能很好地規(guī)避惡意軟件對(duì)調(diào)試工具的檢測，從而能對(duì)惡意軟件保持透明。其次，根據(jù)得到的API函數(shù)序列，對(duì)于長度固定為1的API函數(shù)短序

4、列模式，我們利用序列前向特征選擇算法選擇特征向量。該特征選擇算法基于偏差率，優(yōu)先選用偏差率大的特征，直到選取的特征向量達(dá)到局部最優(yōu);對(duì)于可變長度序列模式，我們先通過Teiresias算法和精簡算法得到精簡模式集，然后再利用之前提到的特征選擇算法從精簡模式集中選取特征向量。從而，我們能夠得到兩個(gè)模式的局部最優(yōu)特征向量，并通過matlab中的libsvm工具成功搭建兩個(gè)支持向量機(jī)。最后，這兩個(gè)支持向量機(jī)同時(shí)工作，組成我們的分析系統(tǒng)，能夠?qū)ξ?/p>