论文部分内容阅读
随着互联网迅猛发展,网络应用日益广泛与深入,恶意软件也不断发展,严重威胁广大用户的隐私与财产安全,对互联网安全问题的关注也日益增强。传统的防病毒软件都是采用预先定义好的二进制特征码[1][2][3]对目标程序进行判断的,对于变种极多的病毒,防病毒软件基本失去了防御作用。而且,二进制特征码的提取需要样本,这在互联网如此发达的今天,在特征码提取并更新了防病毒软件的特征库后,新病毒可能已经大规模爆发。为了弥补杀毒软件在时效性和可靠性上的不足,基于主机的入侵防御系统(Host Intrusion Prevention System,HIPS)被提出来,并且受到越来越多的关注和应用。HIPS基于运行行为监控技术,是安装在受保护的系统上,与操作系统紧密结合,监视系统的各种行为,防止对系统的非法更改和破坏的一种主动的、积极的入侵防范与阻止系统,它会实时地中断违反安全策略的操作,保护用户免受已知威胁和未知的新威胁的感染,大大地提高主机系统对未知威胁的免疫能力。虽然HIPS有诸多优点,但其误报率高,操作繁琐,太过于专业化,也大大阻碍了它的普及与实际运用。本文对HIPS中的几个关键技术进行了讨论,并且详细描述了一个HIPS在Windows平台的设计,并且实现了一个原型系统。本文试图通过对HIPS讨论,提高HIPS的实际使用效率。对于HIPS的关键技术,本文主要讨论了可疑行为的捕获、分析、处理,并逐一给出了在Windows平台下可行的技术方案,在此基础上分析比较了各方案之间的优劣。在规则库构建上,提出了通过验证代码数字签名来构建白名单,自动更新规则库,引入学习模式等来降低HIPS的误报率。最后本文详细描述了一个HIPS系统在Windows平台的设计。包括概要设计,接口设计以及详细设计。为了便于读者理解课题的设计,本文还简要介绍了Windows内核的一些相关概念。在本课题中,作者参与了课题的理论研究与分析工作,并独立负责系统架构的设计,接口设计,合作完成系统的详细设计,并独立完成进程监控,注册表监控以及网络监控的设计与实现。