关于“Behavior-basedSpywareDetection”读后感-肖思博[修改版]

第一篇：关于“Behavior-based Spyware Detection”读后感-肖思博班级： 07通信学号：20072101姓名：肖思博 关于“Behavior-based Spyware D

“Behavior-basedSpywareDetection”- 第一篇：关于读后感肖思博 0720072101“Behavior-basedSpywareDetection” 班级：通信学号：姓名：肖思博关于读后感 在过去的几年里，间谍软件已成为既是一个重大的滋扰，以及一个重大的安全威胁世界各地的系统。 “” 虽然恶毒的程度差异很大实例之间，但事实上，该软件和安装一般是不需要的秘密通过免费软件（通常是 不明确的和痛苦的阅读的最终用户许可协议）和浏览器的漏洞。 目前的办法来缓解这一问题已申请的病毒和其他形式的恶意软件，即二进制签名生成和配套的解决方 案。这种做法，当然，具有极端具体到每一个实例的恶意软件被检测，未在由现代多态蠕虫和病毒代码转 换应用面对悲惨的缺点。 我们对这个问题，采用动态和静态分析，以确定是否有未知的间谍软件组件显示类似的行为。通过这 样做，检测是基于组件的行为，而不是一个字节的二进制表示在其特定的顺序。 我们建了一个原型工具对我们的行为为基础的办法为基础，可检测间谍软件利用了浏览器助手对象 BHOInternetExplorer （的）的界面。更具体地说，一个组件被确定为间谍软件，如果显示在浏览器事件 应对下列行为： 1Web ，负责监察的浏览器交互和用户行为 2,WindowsAPI 调用的调用，这有可能泄漏的行为（例如，调用将数据保存到一个文件或信息传输到 一个远程主机）的信息。 BHOs 我们的技术是使用一种静态和动态分析，以确定是否和工具栏的响应行为模拟浏览器事件应被 视为恶意组成。更确切地说，分析了两种用于确定哪些代码被执行与模拟的事件关联，如果代码包含可疑 API 的调用。我们的研究结果的进一步讨论中可以找到基于行为的间谍软件检测。 间谍软件正在成为一个庞大的网络威胁无论是在资源消耗和用户隐私条款侵犯。目前的反间谍软件工 具的使用为主基于签名的技术，它可以轻易地逃避通过模糊化转变。 BHO 在本文中，我们提出了一个新颖的表征一类流行的间谍软件，即那些组件基于浏览器辅助对象（） IE 或工具栏微软开发的浏览器。这种定性是基于观察，一个间谍软件组件的第一个获得敏感信息的浏览器， 然后收集到的数据泄漏到外部环境。我们开发了一个原型检测工具基于我们的特性，它使用一个组成动态 COMWindowsAPI 和静态分析，以查明浏览器的功能和的调用被调用针对浏览活动。根据这些资料，我 们能够识别间谍软件的整个类，从而使我们的方法比标 准更强大基于签名技术。此外，我们的技术将提供详细的信息法医分析师。对未知的浏览器辅助对象 的行为和工具栏。 我们的做法进行了评估对间谍设置一个较大的考验和良性浏览器扩展。结果表明该方法能够有效地识 别间谍软件的程序的行为没有任何先验知识的节目的二元结构，显着提高对恶意软件作者的酒吧谁想要逃 避检测。