论文题目: 恶意代码机理与防范技术研究
论文类型: 博士论文
论文专业: 计算机应用技术
作者: 文伟平
导师: 卿斯汉
关键词: 恶意代码,机理,防范,模糊变换,函数实时监测,网状关联分析,良性蠕虫
文献来源: 中国科学院研究生院(软件研究所)
发表年度: 2005
论文摘要: 本文以Windows操作系统为测试和应用平台,针对日益严重的恶意代码的问题,对恶意代码的机理和防范进行了研究,取得了以下六个方面的研究成果: (1) 提出了恶意代码的攻击模型,分析了目前恶意代码实现的关键技术,最后设计并实现了一个漏洞植入型的恶意代码,并从通用性、隐蔽性和对植入系统的性能影响三个方面对该恶意代码进行了测试和评估。测试结果表明该恶意代码具有较强的生存能力。通过对恶意代码机理研究和实践,为恶意代码防范技术研究和网络安全策略研究提供理论基础和指导依据。 (2) 提出了恶意代码的动静态分析方法,对恶意代码的隐蔽技术进行了归纳和概括,提出了一种通过模糊变换来提高恶意代码生存能力的策略,并对模糊变换策略进行了形式化描述和分析,建立了模糊变换引擎的框架结构。测试结果表明,经过模糊变换的恶意代码能够逃避大部分基于误用检测的恶意代码对抗工具。 (3) 针对恶意代码的本质特点,提出了恶意代码防范的整体框架。该框架综合误用检测、异常检测及权限控制等多种技术,并从基于主机和基于网络两个角度实施恶意代码的防范技术。 (4) 从系统入侵防范的角度,提出一种基于实时监测Win32函数调用检测和防御恶意代码攻击的方法,该方法通过对部分恶意代码攻击行为模式的分析,建立了恶意代码防御的原型系统,最后以“冲击波杀手”蠕虫为例对该系统进行了实例评估,测试数据表明该系统能够及时地发现恶意代码攻击并阻止恶意代码的进一步扩散,是一种有效地防御恶意代码攻击的新方法。 (5) 从系统入侵防范的角度,提出一种基于网状关联分析预警恶意代码的方法。通过对恶意代码行为模式的分析,对恶意代码防范机制作了新的探索,设计了预警算法,建立了大规模恶意代码预警模型和基于预警算法的原型系统,最后给出相关实验数据和分析结果。与现有的恶意代码检测方法相比校,此方法更加有效,而且能够预警未知的恶意代码。 (6) 给出了网络蠕虫的基本定义和功能结构,从另一角度提出了合理应用网络蠕虫的思想,设计了良性蠕虫系统的框架结构、实现策略及蠕虫个体的工作算法,通过对良性蠕虫的优势分析,指出良性蠕虫可以应用到蠕虫对抗、网
论文目录:
基金资助
摘要
ABSTRACT
目录
图表目录
第一章 绪论
1.1 研究背景
1.1.1 恶意代码的危害
1.1.2 恶意代码长期存在的原因
1.1.3 恶意代码的传播与发作
1.2 恶意代码的发展历程
1.3 研究意义与目标
1.4 论文的主要贡献
1.5 论文的组织结构
第二章 恶意代码机理研究
2.1 前言
2.2 恶意代码的定义和攻击模型
2.2.1 恶意代码的定义
2.2.2 恶意代码的攻击模型
2.3 恶意代码实现的关键技术
2.3.1 生存技术
2.3.2 攻击技术
2.4 VPMC原型系统的设计与实现
2.4.1 技术准备
2.4.2 实现目标和原则
2.4.3 VPMC的设计和实现
2.4.4 通用远程溢出SHELLCODE的设计
2.4.5 VPMC的测试与评估
2.4.6 总结
2.5 本章小结
第三章 恶意代码的生存技术研究
3.1 前言
3.2 恶意代码的分析方法
3.2.1 恶意代码的静态分析
3.2.2 动态分析
3.2.3 两种分析技术的讨论
3.3 恶意代码常用的隐蔽技术
3.3.1 本地隐蔽
3.3.2 网络隐蔽
3.4 模糊变换策略
3.4.1 基于加密的模糊策略
3.4.2 基于多态的模糊策略
3.4.3 两种模糊策略的比较
3.5 模糊变换策略的形式化描述
3.5.1 基本定义
3.5.2 模糊变换的形式化描述和分析
3.6 模糊变换引擎的设计
3.7 模糊变换的效果评估
3.7.1 逆向工程测试
3.7.2 检测工具测试
3.8 模糊变换的局限性及发展趋势
3.9 本章小结
第四章 恶意代码检测和防御框架
4.1 恶意代码检测的不可判定性
4.2 MCDF的提出
4.3 MCDF的整体结构
4.4 基于主机的恶意代码防范
4.4.1 误用检测方法
4.4.2 权限控制方法
4.4.3 完整性控制方法
4.5 基于网络的恶意代码防范
4.6 本章小结
第五章 基于主机的恶意代码防范方法研究
5.1 相关研究工作
5.1.1 基于特征的扫描技术
5.1.2 校验和技术
5.1.3 沙箱技术
5.1.4 安全操作系统对恶意代码的防范
5.1.5 其它的防范技术
5.2 基于实时监测WIN32函数调用防范恶意代码攻击
5.2.1 检测防御机制的原理性探索
5.2.2 Win32函数截获和防范恶意代码攻击的基本策略实现
5.2.3 相关测试数据及试验结果
5.3 本章小结
第六章 基于网络的恶意代码防范方法研究
6.1 相关研究工作
6.1.1 基于GrIDS的恶意代码检测
6.1.2 基于PLD硬件的检测和防御
6.1.3 基于HoneyPot的检测和防御
6.1.4 基于CCDC的检测、防御和阻断
6.2 基于网状关联分析的恶意代码预警研究
6.2.1 恶意代码预警机制的原理性探索
6.2.2 基于网状关联分析的恶意代码预警
6.2.3 恶意代码预警系统的结构模型
6.2.4 相关测试数据及试验结果
6.3 本章小结
第七章 网络蠕虫研究及良性蠕虫系统的设计
7.1 前言
7.2 蠕虫目前的研究状况
7.3 蠕虫的定义及功能结构
7.3.1 蠕虫的定义
7.3.2 网络蠕虫的功能结构
7.4 网络蠕虫的扫描策略
7.4.1 选择性随机扫描
7.4.2 顺序扫描
7.4.3 基于目标列表的扫描
7.4.4 基于路由的扫描
7.4.5 基于DNS扫描(DNS Scan)
7.4.6 分治扫描(Divide-Conquer Scan)
7.4.7 扫描策略评价
7.5 网络蠕虫的传播模型
7.5.1 Simple Epidemic Model
7.5.2 Kermack-Mckendrick模型
7.5.3 SIS传播模型
7.5.4 Two-Factor模型(双因素传播模型)
7.5.5 Worm-Anti-Worm模型(WAW模型)
7.6 良性蠕虫的概念及特点
7.6.1 良性蠕虫的相关概念
7.6.2 良性蠕虫的特点
7.6.3 良性蠕虫系统结构
7.7 良性蠕虫的设计策略
7.7.1 扩散策略
7.7.2 可控策略
7.7.3 安全通信策略
7.7.4 蠕虫个体实现策略
7.8 良性蠕虫应用
7.8.1 对抗恶意蠕虫
7.8.2 对抗病毒
7.8.3 对抗特洛伊木马
7.8.4 安全策略增强
7.8.5 网络移动代理
7.8.6 系统漏洞修补
7.8.7 分布式计算
7.9 本章小结
第八章 结论
8.1 论文的主要成果
8.2 进一步研究的方向
参考文献
附录A 在汇编语言中常用的等价指令对(X86指令格式)
作者攻读博士学位期间发表的学术论文
致谢
发布时间: 2005-07-08
相关论文
- [1].面向网络环境的信息安全对抗理论及关键技术研究[D]. 蒋建春.中国科学院研究生院(软件研究所)2004
- [2].网络入侵检测系统NIDS的新技术研究[D]. 薛强.天津大学2004
- [3].网络安全检测关键技术研究[D]. 高翔.西北工业大学2004
- [4].网络蠕虫传播与控制研究[D]. 张运凯.西安电子科技大学2005