面向恶意程序网络行为分析的虚拟网络设计与实现-计算机应用技术专业毕业论文.docxVIP

摘要 互联网的蓬勃发展给人们的生活和工作带来了极大的便利，信息技术已经成 为很多人生活和工作不可或缺的一部分。然而，与此同时网络面临的安全威胁越 来越多样化，危害也越来越大。恶意程序，包括计算机病毒、蠕虫、木马和僵尸 等，已经成为计算机和网络最大的威胁之一。 传统的恶意程序分析方法是基于特征码的静态分析技术，这种方法虽然也在 不断的发展，但是由于恶意程序在数量上井喷式的增长、在技术上采用加密、多 态和变形等手段以及静态分析无法有效防御未知恶意程序的缺陷，使得基于恶意 程序行为的动态分析技术成为新的解决方法。由于互联网与技术的发展，越来越 多的恶意程序都具有一定的网络行为，甚至主要的恶意行为就是通过网络实现的， 同时，智能化的恶意程序能在没有检测到网络连接的情况下隐藏自身的恶意行为， 从而给恶意程序行为的捕获带来了很大的困难。因此，如何构建虚拟网络、诱骗 恶意程序产生更多的网络行为成为基于行为的动态分析领域研究的热点和难点。 另外，由于恶意程序的种类和数量的迅猛增长，恶意程序的自动化分析技术成为 发展的必然趋势。 为了解决上述问题，本文实现了面向恶意程序网络行为分析的虚拟网络，该 虚拟网络实现了常见网络协议数据包目的地址和端口的重定向、模拟了常见的网 络服务，诱骗恶意程序产生更多的网络行为并进行充分的捕获，同时又能保护真 正的网络环境、避免受到恶意程序的破坏。另外，本文设计并实现了一种恶意程 序沙盒调度管理方案，实现了恶意程序的动态分析过程的自动化。通过一系列的 实验充分证明，与在线分析平台 CWSandbox、Anubis 相比，本文实现的虚拟网络 的效果更佳，能更好地模拟网络服务，能捕获更多的恶意程序网络行为，为恶意 程序网络行为分析提供了更加充足有效的行为数据。 关键词：恶意程序 动态分析 网络行为 虚拟网络 Abstract The rapid development of the Internet has brought great convenience to people’s lives and work, and IT has become an indispensable part of their lives. However, network security threats are increasingly diverse and dangerous. Malware, including computer viruses, worms, Trojans and zombies, has become one of the most serious threats to computers and networks. The traditional malware detection method is static detection technology based on static characteristics. Although this method is in constant development, dynamic analysis based on malware behavior gradually become a new solution, because of growth spurt in the number of malware, the use of encryption, polymorphism and deformation, and the defect of static analysis that it can not be an effective defense against unknown malware. Because of the development of the Internet and information technology, more and more malwares have certain network behavior, and even major malicious behavior is realized through the network, at the same time, intelligent malwares can hide their own malicious behavior in the case of no network connection is detected, which bring great difficulties to the capture of malware behavior. Therefore, how to build a virtual net