主机型恶意程序运行行为监控技术研究

来源 :电子科技大学 | 被引量 : 0次 | 上传用户:goodhope9010
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着互联网迅猛发展,网络应用日益广泛与深入,恶意软件也不断发展,严重威胁广大用户的隐私与财产安全,对互联网安全问题的关注也日益增强。传统的防病毒软件都是采用预先定义好的二进制特征码[1][2][3]对目标程序进行判断的,对于变种极多的病毒,防病毒软件基本失去了防御作用。而且,二进制特征码的提取需要样本,这在互联网如此发达的今天,在特征码提取并更新了防病毒软件的特征库后,新病毒可能已经大规模爆发。为了弥补杀毒软件在时效性和可靠性上的不足,基于主机的入侵防御系统(Host Intrusion Prevention System,HIPS)被提出来,并且受到越来越多的关注和应用。HIPS基于运行行为监控技术,是安装在受保护的系统上,与操作系统紧密结合,监视系统的各种行为,防止对系统的非法更改和破坏的一种主动的、积极的入侵防范与阻止系统,它会实时地中断违反安全策略的操作,保护用户免受已知威胁和未知的新威胁的感染,大大地提高主机系统对未知威胁的免疫能力。虽然HIPS有诸多优点,但其误报率高,操作繁琐,太过于专业化,也大大阻碍了它的普及与实际运用。本文对HIPS中的几个关键技术进行了讨论,并且详细描述了一个HIPS在Windows平台的设计,并且实现了一个原型系统。本文试图通过对HIPS讨论,提高HIPS的实际使用效率。对于HIPS的关键技术,本文主要讨论了可疑行为的捕获、分析、处理,并逐一给出了在Windows平台下可行的技术方案,在此基础上分析比较了各方案之间的优劣。在规则库构建上,提出了通过验证代码数字签名来构建白名单,自动更新规则库,引入学习模式等来降低HIPS的误报率。最后本文详细描述了一个HIPS系统在Windows平台的设计。包括概要设计,接口设计以及详细设计。为了便于读者理解课题的设计,本文还简要介绍了Windows内核的一些相关概念。在本课题中,作者参与了课题的理论研究与分析工作,并独立负责系统架构的设计,接口设计,合作完成系统的详细设计,并独立完成进程监控,注册表监控以及网络监控的设计与实现。
其他文献
随着实时系统在各个领域的广泛应用,实时容错技术也得到了深入的研究。在实时系统中,任务执行失败可能导致灾难性的后果。这就对实时系统的实时性和可靠性提出了很高的要求。
近年来,随着互联网的快速传播,人们越来越多的商业行为也从实际生活转移到了网络生活上。现在电子商务在我们的生活中飞快的发展,更多的产品在互联网上供人们选择,普通的筛选方式
随着计算机技术和网络技术的飞速发展,网络安全问题越来越引起人们的关注和重视。入侵检测系统扩充了安全防护的概念,弥补了传统安全策略的不足,保护计算机免遭入侵,而生物免
软件测试是保证软件质量的重要手段,而图形用户界面(GUI:Graphical User Interface)是软件的重要部分,几乎占据应用程序50%的代码。其测试工作量大、烦琐、易出错,给测试带来
智能配电网信息系统中的许多业务是典型的需协同工作的流程,这些业务需要多部门、多人严格根据预先规定的运转流程和约束规范进行协同工作,采用可处理非结构化信息、具有协同
随着虚拟化技术的复兴,硬件辅助虚拟化技术应运而生。采用Intel VT和AMD SVM技术的硬件虚拟机可以直接运行现有的操作系统,但是必须通过软件模拟真实物理设备的方式来处理硬
约束三角剖分在有限元分析和信息可视化等工程领域具有重要的应用背景,同时它也是计算几何和计算机辅助几何设计的一个热点问题。约束三角剖分由无约束三角剖分发展而来,由于用
随着计算机信息技术的迅猛发展和Web信息系统的广泛应用,企业应用的信息化和网络化成为当前的一个趋势,也对数据的可视化提出了更高的要求。船舶行业传统的系统技术已经满足
图像分割是数字图像处理的重要工作之一。在传统分割算法无法完成复杂形状分割要求的情况下提出了基于主动轮廓模型的图像分割算法。几何主动轮廓模型算法的出现,成功地解决
实时内存数据库是数据库系统发展的一个分支,它以内存数据库作为其底层支持,适用于处理不断更新、快速变化的数据和具有时间限制的事务,其数据和事务均有显式的时间限制,系统