本文關鍵詞：基于動態(tài)鏈接庫的惡意進程自動取證分析技術研究　出處：《南京大學》2015年碩士論文　論文類型：學位論文

  更多相關文章： 計算機取證 易失性內(nèi)存 惡意軟件進程 動態(tài)鏈接庫 數(shù)據(jù)挖掘

【摘要】：隨著計算機技術的迅速發(fā)展,不斷增長的硬盤存儲空間、越來越復雜的加密軟件技術以及僅駐留內(nèi)存型惡意軟件的出現(xiàn)與發(fā)展等因素都給傳統(tǒng)的以磁盤取證為代表的面向持久化數(shù)據(jù)的計算機取證方式帶來了巨大的挑戰(zhàn)。而針對易失性內(nèi)存的取證研究越來越受到人們的關注。內(nèi)存取證領域在近些年也獲得了長足的發(fā)展。但目前的內(nèi)存取證方法的關注點主要集中在如何獲取內(nèi)存證據(jù)以及如何恢復內(nèi)存中的數(shù)據(jù)結構。而涉及到如何自動化地將惡意進程從眾多進程數(shù)據(jù)中識別出來、在高層語義層次上分析它們的行為從而收集相關證據(jù)的研究并不多見。事實上在實際案例中,取證調(diào)查者們常常需要面對大量他們并沒有先驗知識的未知進程。即使對于有經(jīng)驗的專家來說,研究這些進程并識別出其中的惡意進程仍然需要消耗大量的時間和精力。盡管當前主流的商業(yè)惡意軟件檢測工具可以為檢測工作提供一些幫助,但是由于設計目的不同,它們通常不能揭示惡意軟件的目的、能力構成以及行為細節(jié),因而并不能很好地滿足取證工作的需求。基于上述背景,本文提出了一種基于進程動態(tài)鏈接庫信息和數(shù)據(jù)挖掘技術的惡意進程自動取證分析框架。框架由惡意進程自動識別技術、惡意進程自動分組技術和進程證據(jù)自動獲取技術三部分組成。當給定一些未知進程時,通過基于動態(tài)鏈接庫的模型以及隱藏樸素貝葉斯分類方法實現(xiàn)的組件可以自動將惡意進程區(qū)分出來。而通過聚類分析實現(xiàn)的組件則進一步將惡意進程分組歸類,從而揭示目標惡意進程的更多細節(jié)信息。最終基于頻繁項集分析的組件將進一步引導調(diào)查者進行證據(jù)收集。該框架不僅適用于離線分析場景也可以應用到實時分析場景�；谡鎸崘阂廛浖膶嶒灁�(shù)據(jù)表明該框架的識別準確率超過90%而時間消耗僅為數(shù)秒。
[Abstract]:......
【學位授予單位】：南京大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP333;TP309

【相似文獻】

相關期刊論文 前10條

1 黃鳳坡;;對動態(tài)鏈接庫的初探[J];赤峰學院學報(自然科學版);2007年02期

2 關素榮,王曉東;16/32位動態(tài)鏈接庫的建立與調(diào)用[J];冶金自動化;2000年03期

3 張世祿,彭磊;利用動態(tài)鏈接庫提高代碼可重用性[J];計算機應用;2001年S1期

4 陳峰;使用資源動態(tài)鏈接庫實現(xiàn)多語種支持[J];電腦編程技巧與維護;2001年09期

5 步山岳;動態(tài)鏈接庫DLL創(chuàng)建和使用[J];電腦學習;2002年01期

6 賈振華,何麗娟;用戶動態(tài)鏈接庫的創(chuàng)建與應用[J];華北航天工業(yè)學院學報;2002年04期

7 步山岳;動態(tài)鏈接庫DLL[J];微型電腦應用;2002年01期

8 張仁彥,陳延國,高振東;在Visual Basic6.0環(huán)境下實現(xiàn)動態(tài)鏈接庫的創(chuàng)建和調(diào)用[J];應用科技;2002年08期

9 步山岳;動態(tài)鏈接庫DLL[J];電腦編程技巧與維護;2002年05期

10 趙鳳芝,司健君;基于Super scape VRT SDK動態(tài)鏈接庫的設計與實現(xiàn)[J];微計算機應用;2002年02期

相關會議論文 前2條

1 伊翠香;孫玲玲;楚萬慧;張富強;;淺談動態(tài)鏈接庫DLL編程技術[A];晉冀豫鄂蒙川云貴甘滬湘魯十二省區(qū)市機械工程學會2007年學術年會論文集（山東、四川分冊）[C];2007年

2 宛勁松;;多語言動態(tài)鏈接庫綜合編程技術[A];湖北省公路交通科技2003年會論文集[C];2003年

相關重要報紙文章 前3條

1 遼寧 QS;徹底修復動態(tài)鏈接庫[N];電腦報;2004年

2 湖南 徐科;系統(tǒng)穩(wěn)定衛(wèi)士safelnstall98[N];中國電腦教育報;2001年

3 段秀華 李文連;用PB調(diào)用VC編制的DLL[N];計算機世界;2001年

相關碩士學位論文 前10條

1 端一恒;基于動態(tài)鏈接庫的惡意進程自動取證分析技術研究[D];南京大學;2015年

2 胡俊夫;基于動態(tài)鏈接庫的擺渡木馬設計方法研究[D];哈爾濱工程大學;2012年

3 倪華娟;面紙箱設計軟件中Delphi動態(tài)鏈接庫（DLL）的實現(xiàn)[D];電子科技大學;2011年

4 劉冬波;WINDOWS系統(tǒng)中PE文件內(nèi)容的獲取[D];山東大學;2011年

5 陳盼;基于DIC的變形測量算法研究及動態(tài)鏈接庫設計[D];合肥工業(yè)大學;2014年

6 薛凱;基于動態(tài)鏈接庫的小幅面掃描儀驅(qū)動程序的設計與實現(xiàn)[D];西安電子科技大學;2013年

7 陳中奇;基于動態(tài)鏈接庫的多CCD掃描儀驅(qū)動程序設計與實現(xiàn)[D];西安電子科技大學;2012年

8 莊恒凱;基于動態(tài)鏈接庫的單CCD掃描儀驅(qū)動程序設計與實現(xiàn)[D];西安電子科技大學;2011年

9 廖亮;基于MS-Windows的通信編碼仿真平臺設計與實現(xiàn)[D];西南交通大學;2005年

10 劉瑩;ABS SOFTWARE 研究的新進展，，ABSDLL01& WinABS01[D];大連理工大學;2001年

本文編號：1349053