基于QEMU的惡意程序行為檢測(cè)研究.pdf

1、互聯(lián)網(wǎng)技術(shù)給人們的生活各個(gè)方面提供巨大便利，但另一方面也為惡意程序的產(chǎn)生和傳播提供了方便，給信息系統(tǒng)造成嚴(yán)重的安全威脅。隨著計(jì)算機(jī)系統(tǒng)虛擬化技術(shù)的發(fā)展，虛擬機(jī)（Virtual Machine，VM）的應(yīng)用領(lǐng)域愈加廣泛，利用虛擬機(jī)對(duì)惡意程序的檢測(cè)技術(shù)已經(jīng)成為當(dāng)前的研究熱點(diǎn)之一。
　　本文基于虛擬機(jī)監(jiān)視器研究程序行為的分析及檢測(cè)技術(shù)。通過(guò)虛擬機(jī)監(jiān)視器，獲取程序運(yùn)行時(shí)的虛擬機(jī)系統(tǒng)底層信息，從計(jì)算機(jī)系統(tǒng)資源域的角度綜合分析程序行為，以此為

2、基礎(chǔ)檢測(cè)惡意程序行為。本文首先分析 QEMU及其相關(guān)技術(shù)，以及程序行為檢測(cè)方法。其次本文研究基于QEMU的程序行為檢測(cè)模型：基于QEMU對(duì)程序運(yùn)行時(shí)的系統(tǒng)內(nèi)存、內(nèi)核基本事件、磁盤(pán)文件和網(wǎng)絡(luò)信息等數(shù)據(jù)信息進(jìn)行捕獲并重構(gòu)；采用C4.5算法建立決策樹(shù)的方式對(duì)捕獲及重構(gòu)到的數(shù)據(jù)分析，以此判定程序是否存在惡意行為?；谠撃Ｐ?，本文最后設(shè)計(jì)與實(shí)現(xiàn)出對(duì)應(yīng)的程序行為檢測(cè)系統(tǒng)，并將其用于實(shí)際的程序行為檢測(cè)。檢測(cè)結(jié)果表明所提出的檢測(cè)模型以及相應(yīng)的檢測(cè)系統(tǒng)能