二层架构的特洛伊木马深度防御体系

来源 :南京大学 | 被引量 : 0次 | 上传用户:hsh15811353953
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着信息化建设的发展,网络已经成为支撑许多行业开展业务的基础平台,网络安全将直接影响到其业务的正常实施,甚至关系到国家的安全和社会的稳定。在危害网络安全的因素中,恶意软件(Malware)的危害性最高,它通过网络途径进行广泛传播,对主机系统安全和网络安全的威胁日益增加。其中木马程序在网上的传播和活动呈快速增长的趋势,成为恶意软件的的主要组成部分,并且木马的攻击目的性逐渐增强。当前已知木马检测技术比较成熟,主要使用基于特征码检测技术、基于网络数据包检测技术。这两种技术需要提取已知木马样本的特征,所以不能检测未知木马。未知木马检测技术主要有基于关联分析的检测技术、基于虚拟机的检测技术、基于特洛伊DLL的检测技术、基于系统资源访问的检测技术。对未知木马的检测技术多是在木马攻击行为发生时实施被动检测,即在木马种植到目标主机后,实施攻击行为的过程中采用相应技术对木马的攻击行为进行判断、评估,所以普遍存在误报率高、漏报率高、检测滞后的缺陷。基于对当前木马检测技术的弱点分析,本文在研究木马的攻击模式、种植方式和Windows安全机制的基础上,提出了边界防御和环境控制协同防御的木马深度防御体系思想,其主要技术创新点: ㈠在主机边界上对木马种植途径进行检测,阻止木马在主机上的种植,实现对木马的主动检测,变被动检测为主动检测。 ㈡在主动检测的基础上,构建工作环境控制机制,实现对应用程序运行的审核,抑制木马实施其攻击行为,保护主机信息的安全,变查杀木马为抑制木马。 ㈢边界防御与环境控制协同,形成用户工作环境下的木马纵深防御体系。基于上述思想,本文设计了二层架构的木马深度防御体系(DDST)原型。二层架构的木马深度防御体系有两层架构组成:①边界检测防御层(BDDL),边界检测防御层在主机边界对木马种植实施主动防御。木马种植主要集中在脚本攻击、缓冲区溢出漏洞以及邮件附件三种种植方式。因此,边界检测防御层由脚本监控模块、远程缓冲区溢出监控模块,文件分析检测模块分别对三种种植方式实施主动检测。②工作环境控制层(WECL),工作环境控制层对边界检测防御层不能检测出的木马程序或者“隐蔽”进入系统的木马程序的工作环境和其攫取系统特权的途径进行控制,使之无法实施其攻击行为。工作环境控制层由进程环境控制模块、服务管理控制模块、注册表监控模块、异常诊断模块、策略库、策略审计模块组成。 ㈣二层架构的木马深度防御体系将边界防御与环境控制相结合,形成对木马攻击的纵深防御。在边界防御层对木马的主要种植方式进行主动检测克服了当前未知木马检测技术进行被动检测带来的弱点。工作环境控制层对木马的工作环境进行控制,具有效率高、普适性好的优点。 ㈤二层架构的木马深度防御体系对2个已知木马、4个未知木马、4种种植方式进行种植和检测实验。实验结果表明:二层架构的木马深度防御体系不但能够检测出2种已知木马,而且能够准确检测出4种未知木马,并能够防御通过4种种植方式进行的木马种植。因此,二层架构的木马深度防御体系有较好的检测有效性,具有较高的实用价值。
其他文献
中性束注入(NBI)加热是核聚变装置上对等离子体外部加热和维持的主要手段之一。离子源及其电源供电系统是运行在NBI实验装置的80kV高压电位上,为了隔离高电位及增加采集信号的
日益重要的线延迟、变化的工作负载、功耗以及设计/验证复杂度等问题共同促进了片上多核处理器时代的到来。然而,当前主流的商用片上多核处理器主要针对多线程应用,单个串行程
随着IP语音(VoIP)技术在全球电信市场的不断普及,对服务供应商、设备制造商以及最终用户而言,性能改善、成本降低以及功能支持使VoIP成为一种极富吸引力的事物。由于人们对Vo
情感分析,又称为观点挖掘,近些年来作为研究热点被广泛应用于公众观点识别、产品评论摘要等诸多需要自动获取人们的观点与情感的应用场景中。情感分析不仅可以帮助消费者做出明
网络处理器已经成为新一代网络交换机与路由器的核心,随着网络带宽的急剧增长,对网络处理器传输带宽的要求也越来越高,而存储系统和调度算法由于直接影响到网络处理器的传输性能
今天,软件的提交形态已从产品形态向服务形态转换,软件需要根据用户的需求和技术的变化不断改变。这种改变的频率越来越高,推动软件从低级走向高级、从幼稚走向成熟。此时,人们用
笔式用户界面是普适计算环境中的一个主要人机界面形态,而数字笔迹技术是实现笔式交互的主要使能技术。数字笔迹技术通过结合传统纸笔方式的自然、方便和计算机强大的计算能力
越来多的网络服务提供商采用云计算平台提供他们的网络服务。然而也有很多服务商因担忧云计算平台的安全问题而迟迟没有将自己的核心业务放到云平台上。安全问题是云计算平台
嵌入式设备的网络化是人们把控制触角从工作生产向生活延伸的一个必然步骤,它也是当前嵌入式系统研究的热点问题之一。在该技术产生前,人们必须利用专用线路来控制远程设备,而现
贝叶斯网络是概率理论和图论相结合的产物,作为不确定性知识表达和推理的一种方法,已经成为数据库知识发现和决策支持系统的有效方法,并在很多领域都有着广泛的应用。  本文通