————————————
基金项目
基金项目基金项目
基金项目:
::
:国家自然科学基金资助项目(61372062)。
作者简介
作者简介作者简介
作者简介:
::
:韩 奕(1988-),女,硕士研究生,主研方向:云计算,恶意代码检测;姜建国,研究员、博士生导师;仇新梁,高级工
程师;马新建,博士研究生;赵 双,助理工程师。
收稿日期
收稿日期收稿日期
收稿日期:
::
:2013
-
--
-
10
-
10 修回日期
修回日期修回日期
修回日期:
::
:2013
-
--
-
12
-
--
-
04 E-mail:
::
:jiaojiao1024@163.com
基于
基于基于
基于云计算
云计算云计算
云计算的
的的
的恶意程序检测平台设计与实现
恶意程序检测平台设计与实现恶意程序检测平台设计与实现
恶意程序检测平台设计与实现
韩
韩韩
韩
奕
奕奕
奕
1,2
,
,,
,姜建国
姜建国姜建国
姜建国
2
,
,,
,仇新梁
仇新梁仇新梁
仇新梁
2
,
,,
,马新建
马新建马新建
马新建
2
,
,,
,赵
赵赵
赵
双
双双
双
2
(1. 北京交通大学计算机与信息技术学院,北京 100044;2. 中国科学院信息工程研究所,北京 100093)
摘
摘摘
摘 要
要要
要:
::
:针对当前恶意程序种类繁多、分析工作量大的问题,利用 VMware vSphere 虚拟化技术,设计并实现云环境下的恶意程序
自动检测平台。该平台通过轮询机制获得服务器虚拟机资源的负载情况,将收集的可疑样本分类预处理,调用相应的服务器资源
进行检测,可为用户终端节点提供多样化的虚拟环境,实现恶意程序文件、注册表、进程以及网络 4 类主机行为的自动分析,并
自动生成分析报告。在真实样本上的实验结果表明,与金山火眼、Threat Expert 平台相比,该平台能够更准确地反映恶意程序的特
点及危害性。
关键词
关键词关键词
关键词:
::
:VMware vSphere 技术;恶意代码;自动分析;行为特征;虚拟机;检测
Design and Implementation of Malware Detection Platform
Based on Cloud Computing
HAN Yi
1,2
, JIANG Jian-guo
2
, QIU Xin-liang
2
, MA Xin-jian
2
, ZHAO Shuang
2
(1. School of Computer and Information Technology, Beijing Jiaotong Un
iversity, Beijing 100044, China;
2. Institute of Information Engineering, China Academy of Sciences, Beijing 100093, China)
【
【【
【Abstract】
】】
】Aiming at the problem of wide range of malware and large analysis workload, in this paper, with the use of VMware vSphere
virtualization technology, an automatic malware detection system upon the cloud platform is designed and implemented. This platform
adopts polling mechanism to monitor the load of virtual machines in servers, conducts preprocessing of collected suspicious samples
according to their type and tests the samples using correspond server resources. It can offer users a variety of virtual environment, automatic
analysis malware’s four host behavior of files, registry, processes and network, provides online analysis report, and effectively responses to
the problem of wide range of malicious programs, eliminates the analyzing workload, improves the efficiency of analysis. Experimental
result on real samples shows that this platform can provide more precise character and threat information of analyzed samples compared
with Jinshan Fireeye and Threat Expert platform.
【
【【
【Key words】
】】
】VMware vSphere technology; malicious code; automatic analysis; behavioral characteristics; virtual machine; detection
DOI: 10.3969/j.issn.1000
-
--
-
3428.2014.04.005
计 算 机 工 程
Computer Engineering
第 40 卷 第 4 期
Vol.40 No.4
2014 年 4 月
April 2014
·
··
·云计算专题
云计算专题云计算专题
云计算专题·
··
·
文章编号
文章编号文章编号
文章编号:
::
:1000-
--
-3428(2014)04-
--
-0026-
--
-06
文献标识码
文献标识码文献标识码
文献标识码:
::
:A
中图分类号
中图分类号中图分类号
中图分类号:
::
:
TP317
1
概述
概述概述
概述
在现代医学中,化验样本的分析已经从配置试剂、显
微镜评估等低效率、高人力的传统手段过渡到将化验样本
放入自动分析仪即可打印输出化验报告的时代。和医学科
研一样,计算机恶意程序行为自动分析产生的最初动机,
也是提高分析效率,模拟专业人员对可疑文件进行分析。
检测可疑文件常用的方法有
3
种:
(1)
通过杀毒软件对目标文件执行扫描最常见的方法,但
实际扫描结果不能准确判定该可疑文件具有哪些恶意行为。
(2)
使用
IDA
、
OllySafe
等工具,通过脱壳、反汇编手
段静态分析代码,这种方法需要分析人员具备较高程序语
言基础,完全依赖人工实施,周期较长,且当面临大规模
恶意程序爆发时,不能够及时有效地采取措施,另外,通
常情况下人们只能得到程序的可执行文件,对于源码未知
且多态、变种的可疑文件更显得无能为力。
(3)
不具备逆向分析能力的用户,会使用一些安全公司
提供的公开
Web
版沙箱系统,沙箱
(Sandbox)
[1]
技术为一些
来源不可信、具备破坏力或无法判定恶意程序意图的程序
提供实验环境,一些比较常用的
Web
沙箱系统如
Norman
Sandbox
[2]
、
Anubis
[3]
、
Joebox
[4]
等为大众所熟知,但是由于
版权、商业利益等原因,各个沙箱系统对公司外部的普通
用户只提供
Web
接口,用户必须通过特定网页上传待分析
文件,并等待几到几十分钟才能以网页链接或邮件的方式
评论0