基于动态二进制翻译的污点检测设计和实现

论文摘要

现代操作系统和软件变得越来越庞大和复杂,软件漏洞等缺陷也随之而来。攻击者往往会利用这些缺陷实现非法访问。一种快速而可靠的机制就是对这些攻击进行侦测,产生免疫防护措施,保护网络和系统。计算机系统中的信息感染和泄露很大部分是由于不安全的网络访问引起的。基于网络安全的特殊性,本文针对网络访问中数据安全的问题,利用虚拟机的状态控制特征,对恶意访问和病毒攻击进行了一系列的日志记录和状态控制。通过修改开源QEMU虚拟机,设计和实现了一个信息流安全检测工具DTAD。通过执行应用来捕获网络数据以确定这些访问是否合法(目标跳转,函数地址,指令访问等的使用)。一旦攻击被侦测到,工具会实施一种进程级别和内核级别的虚拟机状态的日志记录。对于恶意代码攻击问题,工具会在运行程序的进程空间里面植入自身的诊断代码以替换恶意代码,这样可以搜集被攻击进程的相关信息。通过把记录在日志中的网络数据和虚拟机搜集到的进程信息进行比对关联,工具能够产生精确的网络入侵检测签名,整个过程是自动执行的。通过快速有效的签名发布,能够很好的定位出攻击的类型和提供有效的防护措施。实验验证了工具在攻击识别和信息防护中的高效性,说明了该检测防护体系对感染数据进行的识别跟踪和处理是有效的。

论文目录

摘要

Abstract

第一章绪论

1.1 研究背景

1.2 国内外研究现状

1.3 研究问题

1.4 论文的主要工作

1.5 论文的组织安排

第二章基于虚拟机的信息流分析技术

2.1 虚拟机技术

2.1.1 虚拟机的实现方式

2.1.2 虚拟机对信息的保护

2.2 污点信息跟踪模型

2.2.1 污点信息跟踪策略

2.2.2 基于虚拟机的强制访问策略

2.3 信息流追踪技术

2.3.1 安全语言和静态检测

2.3.2 用软件动态的检测

2.3.3 语言库和操作系统的补丁

2.3.4 硬件的保护模式

2.3.5 中间层软件翻译模式

2.4 本章小结

第三章基于DTAD的污点检测技术

3.1 DTAD的体系架构

3.1.1 DTAD的翻译系统

3.1.2 DTAD的翻译机制

3.1.3 DTAD的内存映射机制

3.2 动态二进制翻译和植入技术

3.2.1 动态二进制翻译技术

3.2.2 动态二进制植入技术

3.2.3 DTAD的动态二进制翻译技术

3.3 基于DTAD的安全检测模型

3.3.1 污点信息的标记

3.3.2 TCPDUMP的检测策略

3.4 DTAD的安全执行构架设计

3.4.1 跟踪识别系统模块设计

3.4.2 操作指令的处理

3.4.3 对签名的生成和识别

3.5 本章小节

第四章 DTAD中污点检测的具体实现

4.1 DTAD对污点信息的标记

4.1.1 污点信息标记的粒度

4.1.2 标记污点信息的数据结构

4.2 DTAD对污点信息的截获

4.2.1 对污点信息的截获策略

4.2.2 关键截获函数

4.3 DTAD对污点信息的处理

4.3.1 污点信息处理的策略

4.3.2 污点信息处理的具体措施

4.4 数据签名的产生

4.4.1 内存数据的dump处理

4.4.2 使用TCPDUMP过滤网络信息

4.4.3 将信息进行整合

4.5 本章小节

第五章实验验证

5.1 实验环境

5.2 实验数据分析

5.3 实验评估

5.4 本章小节

第六章总结与进一步工作

6.1 总结

6.2 进一步工作

致谢

参考文献

作者在读期间的研究成果

基于动态二进制翻译的污点检测设计和实现

论文摘要

论文目录

相关论文文献

猜你喜欢