主機(jī)型惡意程序運(yùn)行行為監(jiān)控技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)迅猛發(fā)展，網(wǎng)絡(luò)應(yīng)用日益廣泛與深入，惡意軟件也不斷發(fā)展，嚴(yán)重威脅廣大用戶的隱私與財(cái)產(chǎn)安全，對互聯(lián)網(wǎng)安全問題的關(guān)注也日益增強(qiáng)。傳統(tǒng)的防病毒軟件都是采用預(yù)先定義好的二進(jìn)制特征碼[1][2][3]對目標(biāo)程序進(jìn)行判斷的，對于變種極多的病毒，防病毒軟件基本失去了防御作用。而且，二進(jìn)制特征碼的提取需要樣本，這在互聯(lián)網(wǎng)如此發(fā)達(dá)的今天，在特征碼提取并更新了防病毒軟件的特征庫后，新病毒可能已經(jīng)大規(guī)模爆發(fā)。為了彌補(bǔ)殺毒軟件在時(shí)效性和可靠性上的不足，

2、基于主機(jī)的入侵防御系統(tǒng)(HostIntrusionPreventionSystem，HIPS)被提出來，并且受到越來越多的關(guān)注和應(yīng)用。 HIPS基于運(yùn)行行為監(jiān)控技術(shù)，是安裝在受保護(hù)的系統(tǒng)上，與操作系統(tǒng)緊密結(jié)合，監(jiān)視系統(tǒng)的各種行為，防止對系統(tǒng)的非法更改和破壞的一種主動的、積極的入侵防范與阻止系統(tǒng)，它會實(shí)時(shí)地中斷違反安全策略的操作，保護(hù)用戶免受已知威脅和未知的新威脅的感染，大大地提高主機(jī)系統(tǒng)對未知威脅的免疫能力。雖然HIPS有諸多優(yōu)

3、點(diǎn)，但其誤報(bào)率高，操作繁瑣，太過于專業(yè)化，也大大阻礙了它的普及與實(shí)際運(yùn)用。 本文對HIPS中的幾個(gè)關(guān)鍵技術(shù)進(jìn)行了討論，并且詳細(xì)描述了一個(gè)HIPS在Windows平臺的設(shè)計(jì)，并且實(shí)現(xiàn)了一個(gè)原型系統(tǒng)。本文試圖通過對HIPS討論，提高HIPS的實(shí)際使用效率。 對于HIPS的關(guān)鍵技術(shù)，本文主要討論了可疑行為的捕獲、分析、處理，并逐一給出了在Windows平臺下可行的技術(shù)方案，在此基礎(chǔ)上分析比較了各方案之間的優(yōu)劣。在規(guī)則庫構(gòu)建上，

4、提出了通過驗(yàn)證代碼數(shù)字簽名來構(gòu)建白名單，自動更新規(guī)則庫，引入學(xué)習(xí)模式等來降低HIPS的誤報(bào)率。最后本文詳細(xì)描述了一個(gè)HIPS系統(tǒng)在Windows平臺的設(shè)計(jì)。包括概要設(shè)計(jì)，接口設(shè)計(jì)以及詳細(xì)設(shè)計(jì)。為了便于讀者理解課題的設(shè)計(jì)，本文還簡要介紹了Windows內(nèi)核的一些相關(guān)概念。 在本課題中，作者參與了課題的理論研究與分析工作，并獨(dú)立負(fù)責(zé)系統(tǒng)架構(gòu)的設(shè)計(jì)，接口設(shè)計(jì)，合作完成系統(tǒng)的詳細(xì)設(shè)計(jì)，并獨(dú)立完成進(jìn)程監(jiān)控，注冊表監(jiān)控以及網(wǎng)絡(luò)監(jiān)控的設(shè)計(jì)與實(shí)