毕业设计(论文)_基于沙盒技术的恶意行为分析平台论文.doc

2014年全国大学生信息安全竞赛 作品报告 作品名称： 基于沙盒技术的恶意行为分析平台 电子邮箱： 137812951@ 提交日期： 2015年5月28日 填写说明 1. 所有参赛必须为一个基本完整的设计。方案 3. 作品报告中各项目说明文字部分仅供参考，作品报告书撰写完毕后，请删除所有说明文字。(本页不删除) 4. 作品报告模板里已经列的内容仅供参考，作者可以在此基础上增加内容或对文档结构进行微调。 5. 为保证网评的公平、公正，作品报告中应避免出现作者所在学校、院系和指导教师等泄露身份的信息。 目 录 摘要 1 第一章 作品概述 2 第二章 作品设计与实现 3 第三章 作品测试与分析 4 第四章 创新性说明 5 第五章 总结 6 参考文献 7 摘要 1 作品介绍 背景和意义 相关研究（基础）：看最近几年的硕士论文的第二章国内外研究现状，主要包括几点：（1）目前的病毒主流查杀技术介绍（从杀毒软件厂商角度，主要的查杀技术；从学术研究的角度，论文中查杀技术的主要研究）。（2）沙盒技术的现状，也是从论文研究的角度和目前的沙盒工具两个方面写 主要内容：分3点以上，对应本文完成的几个功能块 (1) 环境搭建， (2) 病毒行为分类 (3) 平台设计与实现 (4) 检测报告 2 基于沙盒技术的恶意行为分析平台（作品）设计 （1） 流程图 4 作品测试 5 创新性 6 总结 参考文献 摘要 （请简要说明创作本作品之动机、功能、特性、创新处、实用性） 随着时代的发展，计算机已成为人们生活中不可缺失的工具，尤其是网络，与人们的生活密切相关，且由于网络的普及，人们在网络上的交流愈来愈方便，但恶意代码和网络攻击也日益频繁，造成的危害也越来越大，所以恶意代码的研究和分析工作也就变的不可忽视了。由于恶意代码愈来愈复杂多样性，因此传统的基于特征码检测的静态方法便更难以检测出未知的恶意代码了，而沙盒技术可以对可执行程序进行动态分析与检测，其在一定程度上可以弥补静态分析方法的不足之处。 在对基于传统沙盒的分析方法深入研究的基础上，本文提出了一种基于沙盒的恶意代码根据API函数调用行为统计并匹配的统一方案，该方案根据恶意代码的动态行为及其对计算机系统的影响，对其恶意性进行了分级，并能够通过动态分析自动报告恶意代码的恶意等级，使得用户可以一目了然地看出被测程序的恶意程度。基于该方案，本文设计并实现了一款针对可执行程序的恶意代码检测工具—Blackbirdbox。 与以前的工具相比，本文实现的工具在检测方面有以下四个优点：第一、使用沙盒技术，整套工具都在沙盒环境中运行，使得保证了检测的完整性和系统的无破坏性；第二、实现了一个有针对性的API监视器，在一定程度上缩小了监测范围，提高了检测效率；第三、能够对未知的恶意代码进行检测；第四、能够自动分析并报告被测程序的恶意等级，使得用户更直接的知道其恶意程度。第五、专门针对具有反沙箱技术的恶意代码来研发了一套专门防止反沙盒技术的恶意代码在沙盒中不展露恶意行为的方案。在系统的设计上采用了面向组件的设计思想，使得各个组件之间分工较为清晰，能够区分其功能和达到的结果。 最后，本团队利用该检测工具对“熊猫烧香”“某某某”“不知名”等典型恶意代码程序进行了检测，实验结果证明本文提出的检测方法是具有可行性的，且工具有效的实现了功能。 声明：测试的所有恶意代码样本都进行过脱壳处理，因此暂不考虑加壳情况。 第一章 作品概述 （建议包括：背景分析、相关工作、特色描述及应用前景分析等） 1.1 背景分析 在当今的信息时代，互联网的发展与广泛应用深刻改变 了人们的生活方式，大大加快了人类的工作进程、信息获取，使其自由交流沟通越来越简单。然而，针对这些的攻击和犯罪层出不穷在现有的系统中，大多数用来维持安全性的技术通常作 为独立的程序来实现，但是在实现时把用来加强安全性和监视系统活动的技术与系统被攻击部分隔离开也很重要，这就是沙盒技术的来源 现在，传统的恶意程序分析方法已经得到了最大化的研 ，基于检测的攻防方法能够快速准确地对已经出现的恶意程序进行检测。但其缺乏一定的灵活性，而且对于未知的恶意程序无能为力。而近些年来，黑客的地下发展、团队协作、 智能化等让这种检测越来越无能为力。因此，提出了新的终端防护技术要求，而沙盒技术正是符合此要求的可以解决这些问题的技术 。 首先在前期工作中，对沙盒技术的定义以及含义做了深刻，随后对于目前国内外恶意程序检测方法 1.2．1 沙盒技术 沙盒在计算机领域主要是指一个严格受控的环境