主机型恶意程序运行行为监控技术研究

主机型恶意程序运行行为监控技术研究

论文摘要

随着互联网迅猛发展,网络应用日益广泛与深入,恶意软件也不断发展,严重威胁广大用户的隐私与财产安全,对互联网安全问题的关注也日益增强。传统的防病毒软件都是采用预先定义好的二进制特征码[1][2][3]对目标程序进行判断的,对于变种极多的病毒,防病毒软件基本失去了防御作用。而且,二进制特征码的提取需要样本,这在互联网如此发达的今天,在特征码提取并更新了防病毒软件的特征库后,新病毒可能已经大规模爆发。为了弥补杀毒软件在时效性和可靠性上的不足,基于主机的入侵防御系统(Host Intrusion Prevention System,HIPS)被提出来,并且受到越来越多的关注和应用。HIPS基于运行行为监控技术,是安装在受保护的系统上,与操作系统紧密结合,监视系统的各种行为,防止对系统的非法更改和破坏的一种主动的、积极的入侵防范与阻止系统,它会实时地中断违反安全策略的操作,保护用户免受已知威胁和未知的新威胁的感染,大大地提高主机系统对未知威胁的免疫能力。虽然HIPS有诸多优点,但其误报率高,操作繁琐,太过于专业化,也大大阻碍了它的普及与实际运用。本文对HIPS中的几个关键技术进行了讨论,并且详细描述了一个HIPS在Windows平台的设计,并且实现了一个原型系统。本文试图通过对HIPS讨论,提高HIPS的实际使用效率。对于HIPS的关键技术,本文主要讨论了可疑行为的捕获、分析、处理,并逐一给出了在Windows平台下可行的技术方案,在此基础上分析比较了各方案之间的优劣。在规则库构建上,提出了通过验证代码数字签名来构建白名单,自动更新规则库,引入学习模式等来降低HIPS的误报率。最后本文详细描述了一个HIPS系统在Windows平台的设计。包括概要设计,接口设计以及详细设计。为了便于读者理解课题的设计,本文还简要介绍了Windows内核的一些相关概念。在本课题中,作者参与了课题的理论研究与分析工作,并独立负责系统架构的设计,接口设计,合作完成系统的详细设计,并独立完成进程监控,注册表监控以及网络监控的设计与实现。

论文目录

  • 摘要
  • Abstract
  • 第一章 绪论
  • 1.1 课题背景和意义
  • 1.2 行为监控技术的研究现状
  • 1.3 论文主要工作
  • 1.4 论文内容组织
  • 第二章 Windows 内核相关技术
  • 2.1 Windows 内核概述
  • 2.2 Windows 的系统调用机制与截获
  • 2.2.1 Windows 的系统调用机制
  • 2.2.2 Windows 的系统调用的截获
  • 2.3 Windows 的IO 系统
  • 2.3.1 IO 系统结构和模型
  • 2.3.2 IO 管理器
  • 2.3.3 Windows 的分层驱动模型
  • 2.4 Windows 驱动程序编程基础
  • 2.4.1 驱动程序编程概述
  • 2.4.2 驱动程序的加载与卸载
  • 2.4.3 重要数据结构
  • 2.5 Windows 网络体系结构
  • 2.5.1 Windows 网络体系结构概述
  • 2.5.2 NDIS 接口规范
  • 2.6 本章小结
  • 第三章 HIPS 的关键技术
  • 3.1 HIPS 的安全模型
  • 3.2 可疑行为的捕获
  • 3.2.1 进程行为的捕获
  • 3.2.2 特权行为的捕获
  • 3.2.3 注册表行为的捕获
  • 3.2.4 文件行为的捕获
  • 3.2.5 网络行为的捕获
  • 3.3 可疑行为的分析
  • 3.3.1 以规则库为中心分析恶意代码
  • 3.3.2 构建规则库的方法
  • 3.4 可疑行为的处理
  • 3.4.1 拒绝,放行,询问
  • 3.4.2 日志记录
  • 3.4.3 恶意行为的修复
  • 3.5 本章小结
  • 第四章 Windows 下HIPS 的设计与实现
  • 4.1 概要设计
  • 4.1.1 系统需求
  • 4.1.2 系统运行环境
  • 4.1.3 系统框架设计
  • 4.2 接口设计
  • 4.2.1 模块间接口设计
  • 4.2.2 模块内接口设计
  • 4.3 详细设计与实现
  • 4.3.1 用户模块的详细设计与实现
  • 4.3.2 内核模块的详细设计与实现
  • 4.3.3 进程监控的详细设计与实现
  • 4.3.4 注册表监控的详细设计与实现
  • 4.3.5 网络监控的详细设计与实现
  • 4.4 本章小结
  • 第五章 系统测试及技术分析
  • 5.1 测试环境
  • 5.2 测试结果
  • 5.3 测试结果分析
  • 5.4 本章小结
  • 第六章 结论
  • 6.1 本文的主要研究工作
  • 6.2 今后的工作
  • 致谢
  • 参考文献
  • 附录
  • 在学期间研究成果
  • 相关论文文献

    • [1].养育者行为监控与农村留守儿童的孤独、反社会行为[J]. 中国临床心理学杂志 2013(03)
    • [2].加强权力行为监控的对策研究[J]. 华北煤炭医学院学报 2010(03)
    • [3].基于行为监控的木马检测系统研究及实现[J]. 四川师范大学学报(自然科学版) 2009(03)
    • [4].基于智能体架构的网络行为监控集成系统[J]. 计算机应用与软件 2008(11)
    • [5].内网行为监控与告警解决方案[J]. 信息安全与通信保密 2008(12)
    • [6].程序行为监控技术与“最小特权”原则[J]. 信息安全与通信保密 2008(12)
    • [7].基于网络行为监控的主动网络安全管理设计[J]. 信息与电脑(理论版) 2013(14)
    • [8].基于ERP技术的疲劳对驾驶人行为监控能力影响研究[J]. 中国公路学报 2018(08)
    • [9].基于网络行为监控的主动网络安全管理设计[J]. 计算机安全 2013(09)
    • [10].用网络行为监控体系对抗常见网络攻击[J]. 中国海洋大学学报(自然科学版) 2008(S1)
    • [11].基于特征分析和行为监控的未知木马检测系统研究与实现[J]. 信息网络安全 2015(02)
    • [12].基于行为监控的虚拟化服务安全增强方案研究[J]. 信息安全与技术 2013(12)
    • [13].基于电子学档的在线学习行为监控[J]. 中国远程教育 2008(05)
    • [14].一种内嵌式程序行为监控框架IPBMF[J]. 计算机工程 2008(06)
    • [15].SecPath ACG网络行为监控的建设与应用[J]. 网络安全技术与应用 2017(10)
    • [16].父母因素、抵制效能感与青少年新媒介依赖行为的关系[J]. 心理发展与教育 2012(04)
    • [17].基于行为监控和数据挖掘的动态信任模型[J]. 计算机应用研究 2011(10)
    • [18].关于网络学习环境下学习行为监控的文献研究[J]. 中小学电教 2011(12)
    • [19].动态演化环境中可信软件行为监控研究与进展[J]. 计算机应用研究 2009(04)
    • [20].基于COMS-CPLD的人员行为监控系统设计[J]. 计算机测量与控制 2015(05)
    • [21].良知IT[J]. 信息方略 2008(18)
    • [22].为本本装上监控器[J]. 电脑知识与技术(经验技巧) 2012(02)
    • [23].网络数据实现对物联网终端网络行为监控的措施研究[J]. 计算机产品与流通 2018(05)
    • [24].财政部要求加强对公款违规购买名贵特产资金支付行为监控[J]. 中国政府采购 2019(04)
    • [25].一种基于Eclipse的程序员行为监控插件[J]. 计算机应用与软件 2015(07)
    • [26].网络行为监控及其在主动网络安全管理中的应用[J]. 科技资讯 2014(09)
    • [27].通化:严打假牌假证串挂号牌行动[J]. 汽车与安全 2008(12)
    • [28].高效环保打印 出击中高端市场[J]. IT经理世界 2011(10)
    • [29].反洗钱交易行为监控模型分析——基于神经网络[J]. 现代商贸工业 2014(17)
    • [30].P2P网络行为安全监控研究综述[J]. 计算机科学 2009(06)

    标签:;  ;  ;  

    主机型恶意程序运行行为监控技术研究
    下载Doc文档

    猜你喜欢