主機型惡意程序運行行為監(jiān)控技術研究.pdf

1、隨著互聯(lián)網迅猛發(fā)展，網絡應用日益廣泛與深入，惡意軟件也不斷發(fā)展，嚴重威脅廣大用戶的隱私與財產安全，對互聯(lián)網安全問題的關注也日益增強。傳統(tǒng)的防病毒軟件都是采用預先定義好的二進制特征碼[1][2][3]對目標程序進行判斷的，對于變種極多的病毒，防病毒軟件基本失去了防御作用。而且，二進制特征碼的提取需要樣本，這在互聯(lián)網如此發(fā)達的今天，在特征碼提取并更新了防病毒軟件的特征庫后，新病毒可能已經大規(guī)模爆發(fā)。為了彌補殺毒軟件在時效性和可靠性上的不足，

2、基于主機的入侵防御系統(tǒng)(HostIntrusionPreventionSystem，HIPS)被提出來，并且受到越來越多的關注和應用。 HIPS基于運行行為監(jiān)控技術，是安裝在受保護的系統(tǒng)上，與操作系統(tǒng)緊密結合，監(jiān)視系統(tǒng)的各種行為，防止對系統(tǒng)的非法更改和破壞的一種主動的、積極的入侵防范與阻止系統(tǒng)，它會實時地中斷違反安全策略的操作，保護用戶免受已知威脅和未知的新威脅的感染，大大地提高主機系統(tǒng)對未知威脅的免疫能力。雖然HIPS有諸多優(yōu)

3、點，但其誤報率高，操作繁瑣，太過于專業(yè)化，也大大阻礙了它的普及與實際運用。 本文對HIPS中的幾個關鍵技術進行了討論，并且詳細描述了一個HIPS在Windows平臺的設計，并且實現(xiàn)了一個原型系統(tǒng)。本文試圖通過對HIPS討論，提高HIPS的實際使用效率。 對于HIPS的關鍵技術，本文主要討論了可疑行為的捕獲、分析、處理，并逐一給出了在Windows平臺下可行的技術方案，在此基礎上分析比較了各方案之間的優(yōu)劣。在規(guī)則庫構建上，

4、提出了通過驗證代碼數(shù)字簽名來構建白名單，自動更新規(guī)則庫，引入學習模式等來降低HIPS的誤報率。最后本文詳細描述了一個HIPS系統(tǒng)在Windows平臺的設計。包括概要設計，接口設計以及詳細設計。為了便于讀者理解課題的設計，本文還簡要介紹了Windows內核的一些相關概念。 在本課題中，作者參與了課題的理論研究與分析工作，并獨立負責系統(tǒng)架構的設計，接口設計，合作完成系統(tǒng)的詳細設計，并獨立完成進程監(jiān)控，注冊表監(jiān)控以及網絡監(jiān)控的設計與實