一种基于multi―agent恶意代码行为捕获方案的设计与实现

一种基于multi―agent恶意代码行为捕获方案的设计与实现

ID:31363469

大小:116.00 KB

页数:11页

时间:2019-01-09

一种基于multi―agent恶意代码行为捕获方案的设计与实现_第1页
一种基于multi―agent恶意代码行为捕获方案的设计与实现_第2页
一种基于multi―agent恶意代码行为捕获方案的设计与实现_第3页
一种基于multi―agent恶意代码行为捕获方案的设计与实现_第4页
一种基于multi―agent恶意代码行为捕获方案的设计与实现_第5页
资源描述:

《一种基于multi―agent恶意代码行为捕获方案的设计与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、一种基于Multi―Agent恶意代码行为捕获方案的设计与实现  【摘要】恶意代码行为捕获是进行恶意代码行为分析,提高防御恶意代码能力的基础。当前,随着恶意代码技术的发展,恶意代码结构及其通信活动日益复杂,使得传统的恶意代码行为捕获技术难以有效应对恶意代码的攻击与破坏。如何更加有效地捕获恶意代码行为成了目前信息安全领域的研究热点。基于此目的,本文在充分利用Agent的自主性和适应性,实时采集目标系统的状态信息的基础上,提出了一种基于多Agent的恶意代码行为捕获方案,分析了其行为捕获流程,介绍了功能模块组成,并基于Windows平台实现了该方案,为下一步针对恶意代码分析及

2、防御提供了良好的基础。  【关键词】恶意代码;多智能体;行为捕获;行为知识库  【中图分类号】TP393.08【文献标识码】A  1引言  现有行为捕获系统往往采用多种手段来捕获恶意代码行为。例如Windows上的文件读写类系统调用可以直接使用APIHOOK来捕获,也可以通过文件系统驱动来捕获。不管行为捕获系统怎样实现,最终表现形式都是如实地详细记录恶意代码的主要调用行为。同时行为检测技术已是网络安全领域的重要研究对象,成为了网络研究体系中不可或缺的一部分。11  目前已有一些基于主机或基于网络的行为捕获技术,并通过仿真实验及实际应用中证实了其有效性。现阶段应用比较广泛的

3、行为捕获工具都是由国外研究机构所开发,如Nepenthes、ManTrsq、KFSensor、honeyd、DTK、ProcessMonitor、pymon.py、Ether等,其中具有代表性的为Nepenthes、Processmonitor、Ether三款工具。  Nepenthes由德国人MarkusKoetter和PaulBaecher等人所开发。此工具设计的基本思想是借助对存有漏洞的网络服务进行模拟,通过建立一个低交互式的蜜罐,使正在网络中传播的恶意代码与之产生交互,利用两者之间的交互进一步分析掌握恶意代码的详细信息,包括感染源位置等。以此实现对恶意代码的自动化

4、捕获与收集工作。Nepenthes工具的不足是无法捕获对未知漏洞进行攻击的恶意代码;一旦有新的漏洞,就需要对其进行模拟,极大地增加了工作量;同样,其对恶意代码类型及数量的捕获与收集也受限于对网络服务已知漏洞模拟的数量与质量。  ProcessMonitor(进程监视器)是一个Windows下的高级监视工具,可以实时显示文件系统、注册表和进程/线程的活动。它将Sysinternals以前的两个实用程序Filemon(文件监视器)和Regmon(注册表监视器)结合在一起,并且添加了大量的改进功能,包括丰富的非破坏性的过滤器,全面的事件属性,如会话ID和用户名,可靠的进程信息,

5、对每个操作带有集成的调试符号支持的完整线程堆栈,同步记录日志文件等等。ProcessMonitor独特的强大功能将使它成为用户在系统故障排除和恶意软件查杀中使用的核心实用程序。11  Ether恶意软件分析工具通过硬件虚拟化扩展,提出了基于硬件虚拟化的恶意代码分析框架。Ether通过Xen虚拟机能够获得比客户操作系统更加高的系统权限,使其能够监测到所有执行的指令、存储器写入、操作系统运行环境、系统调用、甚至能够限制指定进程对系统属性的访问。当客户端代码执行时,通过设置CPUtrap陷阱标志可以监控指令的执行,导致每条机器指令执行后的调试异常。然而,Ether能够记录并追踪

6、客户操作系统执行的每条机器指令和被监控的进程。通过这些调试信息和监控信息,分析人员能够更好地甄别恶意代码。  上述恶意代码捕获技术大多是针对单一数据源的,无法全面获取监测对象的信息,从而导致行为检测的漏报率和误报率较高。一般来说,此类行为捕获系统的行为捕获模块往往作为一个组件存在,只负责记录恶意代码行为,缺少自主分析判断能力,导致捕获的行为数据存在较大的噪音,为后期处理行为数据和提取恶意代码行为特征增加了难度。针对该问题,本文提出了一种基于多Agent的恶意代码捕获方案,该方案采用Agent的形式来实现恶意代码行为捕获模块,赋予其一定的自主决策能力,通过多Agent协同来

7、去除部分行为噪声数据,从而提高恶意代码行为捕获效率。  2行为捕获原型系统体系结构11  本文提出的多Agent恶意代码行为捕获方案,其基本思想是:在恶意代码行为捕获系统主机上部署采集Agent和管理Agent,其中采集Agent主要用于捕获恶意代码行为数据,管理Agent主要用于协调各个采集Agent工作,收集并处理捕获的行为数据。通过采集Agent来感知系统中注册表操作、文件操作、部署调用工具、连接指定站点、隐藏活动界面、操作其它进程、浏览器劫持以及恶意收集信息等行为,并通过管理Agent构建的恶意代码多维行为库及可疑样本

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。