Windows客户端行为实时监控系统设计与实现

摘要

随着互联网的迅猛发展，越来越多的人成为互联网的使用者。由于针对客户端系统的攻击越来越多，用户在受益于互联网的同时，其权益也受到巨大威胁。在各种恶意软件层出不穷，攻击手段不断提高，行为越来越隐蔽的情况下，寻求减少甚至避免互联网用户遭到攻击的有效手段刻不容缓。
　　防火墙和杀毒软件可以对已知的恶意攻击进行有效拦截，但对于未知的攻击很难进行有效的检测。而且，防火墙和杀毒软件都是进行被动的拦截和检测，并不能主动的探测互联网上的威胁。如何通过主动探测对互联网上存在的威胁进行辨别、确认，从而避免互联网用户登陆含有恶意行为的网页、网站成为一个亟待解决问题。
　　针对以上问题，本文构建了 Windows客户端行为实时监控系统。利用具有该系统的Windows虚拟客户端主动登陆待检测网页，通过系统对捕获数据的分析，从而判定系统是否受到入侵。首先，通过定义一组核心的Windows客户端行为，包括进程、远程线程、注册表、驱动加载、文件，并实时监控这组客户端行为的状态，根据监控的结果判定主机系统状态是否发生改变。其次，制定关联性分析的规则，通过关联性分析规则对实时监控的结果进行关联分析，得到有关客户端行为变化的有效精简的数据集。最后，根据关联性分析的数据集及恶意行为的定义，判定系统的安全性。经过测试，本文提出的Windows客户端行为实时监控系统可有效地对含有恶意行为的网页或网站进行判定，从而避免互联网用户登陆恶意网页或网站，有效地提高了互联网的安全性。

目录

Windows客户端行为实时监控系统设计与实现

DESIGN AND IMPLEMENTATION OFREAL-TIME MONITORING SYSTEMFOR WINDOWS CLIENT

摘 要

Abstract

目 录

第1章 绪论

1.1 课题来源

1.2 课题背景及意义

1.3 国内外研究现状

1.4 本文的主要任务及研究内容

1.5 本文组织结构

第2章 恶意软件原理分析与客户端行为定义

2.1 恶意软件定义

2.2 恶意软件类型

2.3 恶意软件捕获

2.3.1 恶意软件主动捕获

2.3.2 恶意软件被动捕获

2.4 恶意软件分析

2.4.1 静态分析

2.4.2 行为分析

2.5 Windows客户端行为定义

2.5.1 恶意软件的行为

2.5.2 Windows客户端行为

2.6 本章小结

第3章 Windows客户端行为实时监控系统设计

3.1 Windows客户端行为实时监控系统功能概述

3.2 内核监控模块设计

3.2.1 Windows内核与I/O系统分析

3.2.2 进程与远程线程监控子模块设计

3.2.3 文件监控子模块设计

3.2.4 注册表与驱动加载监控子模块设计

3.3 用户模块设计

3.3.1 关联性分析子模块设计

3.3.2 数据传输子模块与驱动管理子模块设计

3.4 本章小结

第4章 Windows客户端行为实时监控系统实现

4.1 内核监控模块实现

4.1.1 进程与远程线程监控子模块实现

4.1.2 注册表与驱动加载监控子模块实现

4.1.3 文件监控子模块实现

4.2 用户模块实现

4.2.1 关联性分析子模块实现

4.2.2 数据传输子模块实现

4.2.3 驱动管理子模块实现

4.3 本章小结

第5章 实验结果及分析

5.1 测试环境搭建

5.2 测试结果及分析

5.2.1 行为特征提取测试

5.2.2 恶意软件运行测试

5.2.3 主动浏览URL测试

5.3 系统测试分析

5.4 本章小结

结 论

参考文献

哈尔滨工业大学硕士学位论文原创性声明

哈尔滨工业大学硕士学位论文使用授权书

致 谢