主机型恶意程序运行行为监控技术研究

摘要

随着互联网迅猛发展，网络应用日益广泛与深入，恶意软件也不断发展，严重威胁广大用户的隐私与财产安全，对互联网安全问题的关注也日益增强。传统的防病毒软件都是采用预先定义好的二进制特征码[1][2][3]对目标程序进行判断的，对于变种极多的病毒，防病毒软件基本失去了防御作用。而且，二进制特征码的提取需要样本，这在互联网如此发达的今天，在特征码提取并更新了防病毒软件的特征库后，新病毒可能已经大规模爆发。为了弥补杀毒软件在时效性和可靠性上的不足，基于主机的入侵防御系统(HostIntrusionPreventionSystem，HIPS)被提出来，并且受到越来越多的关注和应用。 HIPS基于运行行为监控技术，是安装在受保护的系统上，与操作系统紧密结合，监视系统的各种行为，防止对系统的非法更改和破坏的一种主动的、积极的入侵防范与阻止系统，它会实时地中断违反安全策略的操作，保护用户免受已知威胁和未知的新威胁的感染，大大地提高主机系统对未知威胁的免疫能力。虽然HIPS有诸多优点，但其误报率高，操作繁琐，太过于专业化，也大大阻碍了它的普及与实际运用。 本文对HIPS中的几个关键技术进行了讨论，并且详细描述了一个HIPS在Windows平台的设计，并且实现了一个原型系统。本文试图通过对HIPS讨论，提高HIPS的实际使用效率。 对于HIPS的关键技术，本文主要讨论了可疑行为的捕获、分析、处理，并逐一给出了在Windows平台下可行的技术方案，在此基础上分析比较了各方案之间的优劣。在规则库构建上，提出了通过验证代码数字签名来构建白名单，自动更新规则库，引入学习模式等来降低HIPS的误报率。最后本文详细描述了一个HIPS系统在Windows平台的设计。包括概要设计，接口设计以及详细设计。为了便于读者理解课题的设计，本文还简要介绍了Windows内核的一些相关概念。 在本课题中，作者参与了课题的理论研究与分析工作，并独立负责系统架构的设计，接口设计，合作完成系统的详细设计，并独立完成进程监控，注册表监控以及网络监控的设计与实现。

目录

文摘

英文文摘

论文说明：图表目录

声明

第一章 绪论

1.1课题背景和意义

1.2行为监控技术的研究现状

1.3论文主要工作

1.4论文内容组织

第二章Windows内核相关技术

2.1 Windows内核概述

2.2 Windows的系统调用机制与截获

2.2.1 Windows的系统调用机制

2.2.2 Windows的系统调用的截获

2.3 Windows的IO系统

2.3.1 IO系统结构和模型

2.3.2 IO管理器

2.3.3 Windows的分层驱动模型

2.4 Windows驱动程序编程基础

2.4.1驱动程序编程概述

2.4.2驱动程序的加载与卸载

2.4.3重要数据结构

2.5 Windows网络体系结构

2.5.1 Windows网络体系结构概述

2.5.2 NDIS接口规范

2.6本章小结

第三章HIPS的关键技术

3.1 HIPS的安全模型

3.2可疑行为的捕获

3.2.1进程行为的捕获

3.2.2特权行为的捕获

3.2.3注册表行为的捕获

3.2.4文件行为的捕获

3.2.5网络行为的捕获

3.3可疑行为的分析

3.3.1以规则库为中心分析恶意代码

3.3.2构建规则库的方法

3.4可疑行为的处理

3.4.1拒绝，放行，询问

3.4.2日志记录

3.4.3恶意行为的修复

3.5本章小结

第四章 Windows下HIPS的设计与实现

4.1概要设计

4.1.1系统需求

4.1.2系统运行环境

4.1.3系统框架设计

4.2接口设计

4.2.1模块间接口设计

4.2.2模块内接口设计

4.3详细设计与实现

4.3.1用户模块的详细设计与实现

4.3.2内核模块的详细设计与实现

4.3.3进程监控的详细设计与实现

4.3.4注册表监控的详细设计与实现

4.3.5网络监控的详细设计与实现

4.4本章小结

第五章系统测试及技术分析

5.1测试环境

5.2测试结果

5.3测试结果分析

5.4本章小结

第六章结论

6.1本文的主要研究工作

6.2今后的工作

致谢

参考文献

附录

在学期间研究成果