返回
种新的恶意软件行为分析系统的设计与实现

种新的恶意软件行为分析系统的设计与实现

ID:23067099

大小:379.01 KB

页数:13页

时间:2018-11-03

种新的恶意软件行为分析系统的设计与实现_第1页
种新的恶意软件行为分析系统的设计与实现_第2页
种新的恶意软件行为分析系统的设计与实现_第3页
种新的恶意软件行为分析系统的设计与实现_第4页
种新的恶意软件行为分析系统的设计与实现_第5页
资源描述:

《种新的恶意软件行为分析系统的设计与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、一种新的恶意软件行为分析系统的设计与实现凌冲余忠慧孙乐昌刘京菊张亮(解放军电子工程学院合肥230037)摘要:基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。该方法利用虚拟化平台良好的隔离性和控制力对恶意软件的运行时行为进行分析,但存在两方面的不足:一方面,现有虚拟机监视器(VirtualMachineMonitor,VMM)的设计初衷是提高虚拟化系统的通用性和高效性,并没有充分考虑虚拟化系统的透明性,导致现有的VMM很容易被恶意软件的环境感知测试所发现;另一方面,源代码较为庞大和复杂,提供了很多恶意软件行为分析不需要的功能,带来了更多的“边缘效应”和漏洞。为

2、此,提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统——THVA。THVA是一个利用了安全虚拟机(SVM)、二级页表(NPT)、外部设备访问保护(EAP)和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM。实验结果表明,THVA在虚拟机自省、行为监控和反恶意软件检测方面表现良好,并通过安全模式转换技术将自身性能提高了18.2%左右。关键词:硬件辅助虚拟化;恶意软件行为分析;虚拟机自省;二级页表;外部设备访问保护中图法分类号:TP309.5文献标识码:ADesignandachievement ofmalwareanalysissystembasedon

3、Hardware-assistedVirtualizationMonitorLINGChongYUZhong-huiSUNLe-changLIUJing-juZHANGLiang(ElectronicEngineeringInstitute,PLA,Hefei230037,China)Abstract:MalwareanalysisbasedonHardware-assistedVirtualizationMonitorhasbeenrecentlypresently,whichutilizethestrongisolationandtheabilitytocontrolGue

4、stOSofvirtualizationplatformtoanalyzethemalwareruntimebehavior.Buttherearetwoshortages:oneisthatthedesignmotiveofVMMisnotfortransparencybutforfunctionalityandperformance,whichinduceVMMtobedetectedbymalware’svirtualizationenvironmentdetection;anotheristhatVMM’scodearetoolargeandcomplex,andpar

5、toftheirfunctionisunnecessary.Thesefeaturesbringmore“side-effects”andvulnerabilities.Therefore,amalwareanalysissystembasedonHardware-assistedVirtualizationMonitor—THVAispresented.THVAisthinVMM,whichonlyabout6000linescode,utilizingtheSVM,NPT,EAPandvirtualmachineintrospectiontechnologiestoachi

6、eve,andspecialformalwareanalysis.TheresultofexperimentsshowsthatTHVAisgoodforvirtualmachineintrospection,behaviormonitorandanti-detection,etc.Inaddition,THVAutilizestheSecurityModeTransitiontechnologytoenhancetheperformanceitselfforabout18.2%.Keywords:Hardware-assistedVirtualizationMonitor;m

7、alwareanalysis;virtualmachineintrospection;NPT;EAP1引言恶意软件行为分析是指计算机安全研究人员分析恶意软件在操作系统中的执行流程,及其对操作系统资源的影响。通过对恶意软件的行为分析,安全研究人员可以找出针对性的方法修复和保护操作系统。目前,恶意软件行为分析系统主要分为两种:一种是传统的恶意软件行为分析系统,即行为分析系统与恶意软件运行于同一操作系统中,不仅无法确保所提取恶意软件信息的可靠性,其自身也容易受到恶意软件的攻击;另一种是基于虚拟化技

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。