本文關(guān)鍵詞：基于沙箱的木馬檢測(cè)技術(shù)研究與實(shí)現(xiàn)

  更多相關(guān)文章： 木馬 沙箱技術(shù) 擴(kuò)展攻擊樹(shù)模型 API 行為監(jiān)控技術(shù)

【摘要】：近年來(lái),隨著計(jì)算機(jī)技術(shù)的快速發(fā)展,互聯(lián)網(wǎng)應(yīng)用得到快速普及,網(wǎng)絡(luò)用戶也在急劇增加,這也使得互聯(lián)網(wǎng)用戶的機(jī)器時(shí)刻暴露于黑客的控制監(jiān)控下,成為黑客的攻擊目標(biāo),甚至將用戶的機(jī)器作為攻擊其它機(jī)器的終端。木馬程序作為惡意程序的一種,經(jīng)常被作為黑客竊取互聯(lián)網(wǎng)用戶的賬號(hào)信息、私人資料或商業(yè)秘密等的重要攻擊手段。相比其他種類(lèi)的惡意程序,木馬程序具有更大的破壞性和危險(xiǎn)性,因此本文針對(duì)木馬檢測(cè)技術(shù)進(jìn)行研究。木馬檢測(cè)技術(shù)一般分為靜態(tài)和動(dòng)態(tài)兩種檢測(cè)技術(shù),靜態(tài)檢測(cè)技術(shù)不需要直接運(yùn)行程序,不僅不會(huì)對(duì)系統(tǒng)造成真實(shí)的破壞,而且檢測(cè)速度快,誤報(bào)率低,但需要龐大的特征庫(kù)支撐,并且在面對(duì)已知木馬程序的隱藏和變化時(shí)略顯不足,對(duì)于未知木馬程序亦是無(wú)能為力；而動(dòng)態(tài)檢測(cè)技術(shù)可以實(shí)時(shí)截獲木馬行為,也能依據(jù)木馬行為檢測(cè)出新的木馬,但是運(yùn)行程序需要占用較多的系統(tǒng)資源導(dǎo)致效率不高,對(duì)于已經(jīng)發(fā)現(xiàn)的木馬程序,會(huì)造成事實(shí)上的危害。沙箱(Sandbox)技術(shù)是一種通過(guò)對(duì)程序?qū)嵤┫拗聘綦x的安全保護(hù)機(jī)制,可用于測(cè)試可疑程序,為避免其惡意行為對(duì)系統(tǒng)造成危害,把程序生成和修改的資源重定向到沙箱中,程序操作的并不是真實(shí)的資源,而是虛擬的資源或者是一個(gè)副本,從而實(shí)現(xiàn)程序的隔離。因此,本文采用沙箱作為動(dòng)態(tài)檢測(cè)木馬的隔離環(huán)境,可以保護(hù)真實(shí)主機(jī)不受破壞且具備與真機(jī)運(yùn)行一樣的效果。本文主要針對(duì)Windows下的PE文件,分析了當(dāng)前木馬檢測(cè)技術(shù)的不足并進(jìn)行了總結(jié)。重點(diǎn)研究木馬行為特征分析技術(shù)及擴(kuò)展攻擊樹(shù)模型在木馬檢測(cè)中的應(yīng)用。提出了一種改進(jìn)的基于擴(kuò)展攻擊樹(shù)模型的木馬檢測(cè)方法,通過(guò)分析對(duì)比靜態(tài)分析PE文件及基于沙箱的行為監(jiān)控技術(shù)的特點(diǎn),采用靜態(tài)檢測(cè)和基于沙箱的動(dòng)態(tài)檢測(cè)相結(jié)合的方法,實(shí)現(xiàn)了對(duì)木馬更高效、完整地的檢測(cè)。本文的主要?jiǎng)?chuàng)新包括如下：(1)基于行為特征分析技術(shù),將擴(kuò)展攻擊樹(shù)模型引入到木馬檢測(cè)中,通過(guò)擴(kuò)展節(jié)點(diǎn)屬性信息對(duì)模型進(jìn)行擴(kuò)展,實(shí)現(xiàn)了更精確的匹配模型。(2)提出了一種改進(jìn)的基于擴(kuò)展攻擊樹(shù)模型的木馬檢測(cè)方法,改進(jìn)了危險(xiǎn)指數(shù)算法及模型匹配算法。采用基于木馬行為特征的檢測(cè)技術(shù),實(shí)驗(yàn)證明改進(jìn)后的方法降低了木馬檢測(cè)的誤報(bào)率和漏報(bào)率。(3)運(yùn)用C++編程技術(shù),設(shè)計(jì)并實(shí)現(xiàn)了用于木馬檢測(cè)的沙箱原型系統(tǒng)。
【關(guān)鍵詞】：木馬 沙箱技術(shù) 擴(kuò)展攻擊樹(shù)模型 API 行為監(jiān)控技術(shù)
【學(xué)位授予單位】：廣東工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類(lèi)號(hào)】：TP393.08
【目錄】：

• 摘要4-6
• ABSTRACT6-14
• 第一章 緒論14-19
• 1.1 研究背景14-15
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀15-17
• 1.3 論文主要內(nèi)容17-18
• 1.4 本文的結(jié)構(gòu)18-19
• 第二章 相關(guān)技術(shù)分析19-28
• 2.1 常用木馬攻擊技術(shù)19-21
• 2.1.1 木馬植入技術(shù)19
• 2.1.2 通信隱藏技術(shù)19-20
• 2.1.3 自啟動(dòng)技術(shù)20-21
• 2.2 木馬檢測(cè)關(guān)鍵技術(shù)分類(lèi)21-24
• 2.2.1 特征碼檢測(cè)技術(shù)21-22
• 2.2.2 虛擬機(jī)技術(shù)22
• 2.2.3 實(shí)時(shí)監(jiān)控技術(shù)22-23
• 2.2.4 行為分析技術(shù)23
• 2.2.5 沙箱技術(shù)23-24
• 2.3 木馬行為分析技術(shù)24-25
• 2.3.1 行為分析技術(shù)在木馬檢測(cè)中的原理24
• 2.3.2 行為分析特點(diǎn)24-25
• 2.3.3 木馬行為特征分析25
• 2.4 相關(guān)算法介紹25-27
• 2.5 本章小結(jié)27-28
• 第三章 擴(kuò)展攻擊樹(shù)模型的構(gòu)建28-35
• 3.1 攻擊樹(shù)概要28-29
• 3.2 擴(kuò)展攻擊樹(shù)模型的構(gòu)建29-33
• 3.2.1 擴(kuò)展攻擊樹(shù)模型的提出29-30
• 3.2.2 PE文件特征提取30-32
• 3.2.3 原始擴(kuò)展攻擊樹(shù)的構(gòu)建方法32-33
• 3.3 擴(kuò)展攻擊樹(shù)模型定義33-34
• 3.4 本章小結(jié)34-35
• 第四章 基于擴(kuò)展攻擊樹(shù)模型的木馬檢測(cè)方法35-46
• 4.1 擴(kuò)展攻擊樹(shù)的匹配35-37
• 4.1.1 待檢測(cè)程序API短序列提取35
• 4.1.2 攻擊子樹(shù)的匹配與生成35-37
• 4.2 算法研究與實(shí)例分析37-42
• 4.2.1 改進(jìn)危險(xiǎn)指數(shù)算法37-39
• 4.2.2 實(shí)例分析39-42
• 4.3 動(dòng)態(tài)調(diào)整擴(kuò)展攻擊樹(shù)方法42-43
• 4.4 靜態(tài)檢測(cè)木馬程序的實(shí)驗(yàn)與測(cè)試43-45
• 4.4.1 測(cè)量指標(biāo)定義與閥值確定43-44
• 4.4.2 靜態(tài)檢測(cè)實(shí)驗(yàn)與結(jié)果44-45
• 4.5 本章小結(jié)45-46
• 第五章 基于沙箱的木馬檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)46-58
• 5.1 系統(tǒng)設(shè)計(jì)要求46
• 5.2 系統(tǒng)設(shè)計(jì)方案46-47
• 5.3 系統(tǒng)執(zhí)行流程47-48
• 5.4 沙箱關(guān)鍵技術(shù)研究48-50
• 5.4.1 API HOOK技術(shù)48-49
• 5.4.2 重定向技術(shù)和虛擬執(zhí)行技術(shù)49-50
• 5.5 基于內(nèi)核級(jí)API HOOK的木馬行為監(jiān)控技術(shù)50-55
• 5.6 基于沙箱的木馬檢測(cè)實(shí)驗(yàn)與測(cè)試55-57
• 5.6.1 系統(tǒng)實(shí)現(xiàn)環(huán)境55
• 5.6.2 系統(tǒng)行為監(jiān)控界面55-56
• 5.6.3 動(dòng)態(tài)檢測(cè)實(shí)驗(yàn)與結(jié)果56-57
• 5.7 本章小結(jié)57-58
• 總結(jié)與展望58-60
• 參考文獻(xiàn)60-63
• 攻讀碩士學(xué)位期間發(fā)表的論文及著作權(quán)63-65
• 致謝65

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 趙旭;陳丹敏;顏學(xué)雄;王清賢;;沙箱技術(shù)研究綜述[J];中原工學(xué)院學(xué)報(bào);2014年04期

2 萬(wàn)立夫;;對(duì)付未知文件我用沙箱[J];網(wǎng)友世界;2011年02期

3 IT民工;;增強(qiáng)版沙箱 新版卡巴的安全免疫區(qū)[J];電腦迷;2009年17期

4 蔣文娟;降雪輝;;沙箱技術(shù)比較[J];才智;2011年05期

5 李時(shí)惠;;一種增強(qiáng)的基于威脅度的沙箱框架設(shè)計(jì)[J];計(jì)算技術(shù)與自動(dòng)化;2006年03期

6 漢江邊;;有沙箱保護(hù),有毒軟件我不怕[J];網(wǎng)友世界;2011年07期

7 楊會(huì)軍;用上所有的力量[J];青少年科學(xué)探索;2004年08期

8 余華志;Java類(lèi)裝載器淺析[J];今日電子;1998年04期

9 程香鵬;陳莉君;;基于LSM的沙箱模塊設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)與數(shù)字工程;2014年08期

10 彭暉,常樂(lè),沈亞軍;Internet環(huán)境下沙箱問(wèn)題的一種解決方法[J];電腦開(kāi)發(fā)與應(yīng)用;2002年08期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前1條

1 周念麗;方俊明;;運(yùn)用沙箱游戲評(píng)量ASD兒童社會(huì)認(rèn)知能力之探索[A];第十二屆全國(guó)心理學(xué)學(xué)術(shù)大會(huì)論文摘要集[C];2009年

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前3條

1 岑義　編譯;“沙箱”技術(shù)領(lǐng)域不存在萬(wàn)靈藥[N];網(wǎng)絡(luò)世界;2013年

2 本報(bào)駐美特約記者 杜林 本報(bào)記者 程彥博;道與法[N];中國(guó)計(jì)算機(jī)報(bào);2014年

3 張瑩;360發(fā)布安全瀏覽器 5000百科用戶首批體驗(yàn)[N];中國(guó)新聞出版報(bào);2008年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前6條

1 陳燕紅;基于沙箱的木馬檢測(cè)技術(shù)研究與實(shí)現(xiàn)[D];廣東工業(yè)大學(xué);2016年

2 張燦巖;用于惡意代碼檢測(cè)的沙箱技術(shù)研究[D];哈爾濱工程大學(xué);2013年

3 徐傳印;基于安全云架構(gòu)的虛擬沙箱的設(shè)計(jì)與實(shí)現(xiàn)[D];華中科技大學(xué);2013年

4 趙廣強(qiáng);基于虛擬化的沙箱防御技術(shù)的研究與實(shí)現(xiàn)[D];廣東工業(yè)大學(xué);2015年

5 吳旭;基于沙箱技術(shù)的網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)[D];華中科技大學(xué);2012年

6 姜輝;基于虛擬化技術(shù)的惡意代碼行為分析系統(tǒng)的研究與實(shí)現(xiàn)[D];濟(jì)南大學(xué);2012年

，

本文編號(hào)：927491