张君涛[1](2019)在《利用符号执行对抗APT样本反沙箱检测的研究》文中进行了进一步梳理随着办公数字化、数据云端化等概念在政府、企业、高校、军队内的不断落地,针对这些目标的攻击事件层出不穷。在所有类型的攻击事件中,由于高级可持续性威胁(APT)的攻击目标明确、攻击行为多样、攻击阶段复杂、时间跨度长,是公认的最难以分析的攻击事件。随着资源的增加、技术的进步,采用沙箱技术来动态分析APT样本的企业逐步增加,沙箱动态分析被认为是防御APT的最后一道防线。然而,目前超过80%的APT样本采用多种机制探测沙箱环境,当发现自身运行于异常环境时会停止恶意行为。对于符号执行系统,反沙箱检测会导致程序分析产生多个分支,恶意行为的分支淹没其中。进一步,如果无害行为中分支存在混淆代码,会造成路径爆炸问题,甚至导致符号执行系统的崩溃。通过对符号执行核心原理的分析,并且结合APT报告中出现的反沙箱检测机制,本文使用开源二进制符号执行工具ANGR作为基础系统,在其上补充了Win32 API挂钩、VEX指令修补、内存结构完善三种插件,并设计了一种可应对未知反沙箱检测的托底方案,开发了原型系统。原型系统既可以使程序只执行包含恶意行为的分支,又可以自动生成反沙箱检测的IOC指标,代表攻击者使用工具的特征。在实验评估部分,使用al-khaser与paranoid fish两款开源的反沙箱检测软件,将原型系统与ANGR进行纵向对比,证明原型系统可以有效避免执行冗余分支;将原型系统与商用沙箱系统进行横向对比,证明原型系统可以应对更多的反沙箱检测手法。最后,对Kasidet后门程序使用原型系统进行分析,成功绕过了所有反沙箱检测机制,并生成了反沙箱IOC特征,证明了原型系统的可用性。
谈诚[2](2018)在《云环境下虚拟机内恶意行为检测与起源追踪技术研究》文中研究指明基于互联网的云计算模式在信息网络中迅速推广和发展,该模式将原本分散于独立物理节点的计算资源和存储资源集中起来,由云平台统一管理和分配。云计算平台聚集了大量的资产,攻击者们对此虎视眈眈。云计算模式资源集中化特点还意味着原本分散于独立物理节点的传统安全威胁如软件漏洞或者系统漏洞等也集中到了云计算环境中。租户在云平台中的虚拟机中存在的漏洞数量和可能遭受漏洞利用攻击的概率并不会比租户个人使用的物理主机要少。黑客们仍然可以依靠以漏洞利用技术和恶意代码为代表的传统攻击手段来攻击虚拟机。总的来说,以软件漏洞利用和恶意代码为代表的传统安全威胁对云计算虚拟化环境下的虚拟机依然是首要的威胁。因此,急需研究针对虚拟机内的恶意行为检测与起源追踪技术,以保障虚拟机免受攻击者的恶意利用。传统的安全监控和检测技术是在虚拟机内部部署监控和检测工具,它们可以较为精确的感知关键事件的发生并进行直接的处理,但是一旦虚拟机被成功入侵,这些工具就会受到攻击者的干扰,其运行结果不可信。虚拟化技术作为云计算的底层支撑技术,提供了虚拟机相互隔离的运行环境,虚拟机监视器对客户域虚拟机拥有完全控制权,可以为实现客户域虚拟机外部的恶意行为监控研究提供了技术上的支持。因此,本文尝试利用可以从虚拟机外部查看虚拟机内部的信息的虚拟机自省技术,在目标系统的外部增强虚拟机应对传统威胁的能力。综上所述,本文针对云计算虚拟环境下的虚拟机可能被传统安全威胁恶意利用的问题,从虚拟机的内部和外部两个层面入手,研究针对虚拟机内恶意行为的检测与起源追踪技术。针对恶意行为的检测方案可以减小虚拟机被恶意利用的概率。如果虚拟机已经遭到了恶意利用,需要可信的起源追踪方法来揭示攻击的起源、路径和结果,帮助受害系统从入侵中恢复,部署相应的防御机制以防止攻击者的再次入侵。本文的具体研究内容如下:(1)研究针对数据泄漏行为的恶意软件检测方案为了检测泄漏敏感信息的基于未知漏洞的APT级恶意软件,本文提出针对数据泄漏行为的恶意软件检测方案,通过多时间窗口关联分析和主机网络事件关联分析来检测恶意软件的信息窃取行为。本文首先根据已出现的窃取信息的恶意软件的攻击步骤,从中提取可观测的高级恶意事件,再分解为低级行为,提出一系列推断规则来关联低级行为和高级恶意事件。本文对被保护的主机和网络进行低开销的持续监控,一旦监控到异常,则进一步检测主机和网络的低级行为,根据推断规则关联已发生的低级行为和高级恶意事件,重构窃取信息的攻击步骤,从而检测攻击的存在。(2)研究基于上下文感知的透明起源收集方法针对传统起源追踪系统易受攻击者干扰的问题,本文设计了基于上下文感知的透明起源起源收集方法。该方法首先利用虚拟化技术透明的收集目标机中发生的系统事件和网络事件,再根据不同类型的事件可以通过它们的执行上下文建立关联关系这一视角,在不同类型的事件之间建立关联关系,从而将时空散布的攻击指纹连接起来,显示恶意行为的轨迹,向攻击调查提供全局视角,揭露攻击的起源、路径和结果。起源收集方法对目标机透明,避免被攻击者干扰,收集的事件可信,同时不会对目标机产生空间开销。(3)研究基于关联日志图的起源追踪方案针对现有的操作系统级别的起源方案需要分析者手动生成因果图分析攻击事件这一问题,本文提出基于关联日志图的起源追踪方案。本文利用数据关系分析技术,研究系统实体之间的关联关系。通过分析事件的上下文信息,提出事件关联算法根据上下文信息查找相关事件,提出事件过滤算法过滤攻击不相关或冗余事件,提出全景图构建算法辅助构建攻击全景图,帮助分析人员识别攻击的起源、路径和结果。(4)研究基于虚拟机自省的ROP防御机制针对虚拟机中发现的ROP漏洞急需保护方案以避免被利用的问题,本文设计了基于虚拟机自省的ROP防御机制,透明的实现对虚拟机内存中代码段的权限管理,取消存在缓冲区溢出漏洞的目标程序在运行时加载但没有使用的代码段的可执行权限,来对抗ROP攻击。整个机制分为线下和运行时两个阶段。线下阶段中,通过静态分析得到目标程序在运行时加载的依赖库信息,通过增量训练得到目标程序在运行时使用的代码段信息,二者相减,即为目标程序运行时加载但没有使用的代码段信息。运行时阶段中,基于虚拟机自省的软剥离模块以线下阶段获取的知识为输入,取消目标程序运行时加载但没有使用的代码段的可执行权限,以这种软剥离的方式有效地缩减整个库的代码空间,从而降低攻击者定位足够多的可执行片断来构造ROP片断链的概率。以上研究成果部署于目标系统的内部和外部,功能互补,实现了对虚拟机内的恶意行为的检测与起源追踪,提高了目标系统应对传统安全威胁的防御能力。
隋欣[3](2017)在《基于内核级API的恶意软件行为检测与分析》文中研究表明随着恶意软件数量的飞速增长,当下信息安全已经是互联网必须面对的问题。大型网络安全事件如火焰、震网等频频发生并大量曝光,在信息安全各类威胁中,恶意代码由于其较高的针对性,并且长期潜伏,具有高攻击技巧等特点,已经成为如今信息安全最大威胁。于是,亟需一种高准确性的恶意软件分析技术对恶意代码进行分析。首先,分析研究了恶意代码相关特征和已有恶意代码检测技术,发现了各类别分析检测方法中存在对未知恶意代码无法检测、检测结果准确性低的问题。其次,总结各类Windows下API函数与行为分析特征,并对行为特征完成分类,在这个基础上,提出了基于内核级API行为分析的恶意代码检测方法。通过监控系统API调用及内核重要数据来获取相关可执行代码的行为,基于内核级API检测技术,抽象出由目标层,准则层,实施层的恶意软件检测模型。在目标层中完成恶意代码的整体检测与信息汇总,在准则层,通过对恶意软件行为的分析与分类,将准则层分为,文件行为,注册表行为,进程行为,网络行为四个部分。在实施层完成具体的详细功能检测,并将结果信息传入准则层,再由准则层向上发至目标层。最后,在以上模型基础上,实现了恶意行为检测系统。通过子模块的详细设计,由内核层模块系统、判断相关子系统和系统界面三部分组成,完成相关子模块的详细设计。其中内核层模块系统包括文件行为检测模块、进程行为检测模块、注册表行为检测模块、网络行为检测模块及内核行为检测模块五个模块。实现了对多种内核级代码隐藏行为、DLL链接库、APC注入等恶意行为的检测。经由实验数据测试验证,相对于之前的检测系统增加了未知恶意代码的检测手段,有更高的效率和准确性。
唐文誉[4](2017)在《针对恶意USB设备的攻防技术研究》文中进行了进一步梳理随着APT攻防技术的发展,移动设备类受到的攻击日趋猖獗,其中包括恶意USB设备的攻击案例。此类攻击利用操作系统的漏洞,以软硬件结合的方式实现攻击,攻击形式新颖。由于操作系统长久以来对USB协议的底层支持,导致此类设备不能被软件技术所拦截。此类攻击的目标主要是BYOD设备,而使用BYOD设备已经成为技术趋势,此类恶意USB设备攻击不容小觑。恶意USB设备可以通过模拟键盘的方式输入预先编译好的攻击指令或恶意代码,通过USB串口连接BYOD设备,在被识别并枚举后,自动输入攻击代码,从而入侵设备,达到主动攻击的效果。本文针对BYOD类设备下的Windows平台,从安全事件入手,分析了此类事件实现的攻击手段和攻击过程,结合USB协议基础,介绍此类设备攻击的原理。制作此类设备,还原其攻击实现。并且通过物理存储空间的拓展实现,提升权限的攻击手段等方式,丰富了此类设备的攻击形式。其次,对于此类攻击的攻击场景,本文结合APT攻击手段,拓展了攻击场景范围,探讨对无网络环境和高防护环境下的攻击实现,并讨论了其抗取证能力。最后,本文通过分析此类设备的攻击实现,并结合此类设备防御的研究现状,提出了基于Intel-VT虚拟化技术的防御系统。该防御方式在不影响设备运行的情况下,能有效防御此类攻击。
唐恬[5](2016)在《基于虚拟机自省的病毒行为分析与检测技术》文中研究说明在形式和功能上不断进化的恶意软件是信息化时代的最大安全威胁之一,随着信息技术进入云计算时代,常用的病毒扫描检测技术无法避免滞后性、可靠性上的缺陷。近年来,基于虚拟机自省技术可以从虚拟机外部详尽分析恶意代码,获取恶意软件行为的优势,越来越多的研究工作围绕着基于虚拟机自省的病毒行为分析展开。本文在系统地分析了虚拟机自省原理、病毒检测常用方法与行为分析基础、Xen开源虚拟机的技术思想的基础上,研究并设计了一种进程行为分析的病毒检测系统。该系统由病毒行为特征库与基于虚拟机自省的检测系统两个部分组成,可以通过自动分析病毒样本创建病毒特征行为库,然后基于虚拟机自省技术获取虚拟主机中进程的行为,根据行为集进行恶意行为判断,从而实现病毒检测功能。本文主要工作如下:1)基于沙盒检测理念,设计了一个搭建在虚拟化平台上的病毒程序行为自动分析系统,并提出了从病毒行为日志信息中提取病毒行为特征库的方法。2)基于虚拟机自省的概念提出了一种对虚拟机内部运行状态进行实时监控的方法,利用虚拟机自省框架和工具实现多角度监控虚拟机中的进程行为信息。3)根据虚拟机自省技术获取的虚拟机进程信息与病毒行为特征库的对比匹配,提出了一种虚拟化系统中的病毒检测方法。3)在虚拟化平台上搭建环境并实现了基于虚拟机自省的病毒行为分析与检测系统。4)对系统工作性能与结果进行测试分析,提出优化方案。通过对病毒样本库的行为分析提取病毒行为特征库,再对SecuboxLab提供的10个病毒程序与自行编写的10个正常可执行程序样本进行混合检测,该系统对样本病毒的识别率可达到90%。检测与过程对整个虚拟系统的性能影响甚微。实验证明该系统运行良好,对病毒检测基本有效。
郭振江[6](2016)在《浅析捆绑木马检测技术》文中研究表明引言:为了逃避追捕,越来越多的木马会将自身捆绑到合法的文件中,例如图片、音乐、视频、EXE等,然后经过免杀和加壳处理,在用户毫无察觉间侵入系统。那么,如何才能识破捆绑型木马的伪装,使其暴露在光天化日之下呢?本文将从不同的角度分析一下常用的检测方法。
郭建伟[7](2015)在《识破伪装,让捆绑型木马现出原形》文中提出网上的各种资源可谓鱼龙混杂,潜伏在其中的病毒木马等恶意程序随时都在伺机侵入您的电脑。一般的木马往往会给自身起一个颇具迷惑性的名字,引诱用户下载然后直接入侵。不过,在杀软等安全软件面前,这类木马很容易被截杀。为了逃避追捕,越来越多的木马会将自身捆绑到合法的文件中,然后经过免杀和加壳处理,在用户毫无察觉间侵入系统。现在各种捆绑器可谓满天飞,黑客很容易将木马和图片、音乐、视频、程序等正常文件捆绑在一起,来突
李永波[8](2015)在《基于KVM的虚拟机自省系统设计与实现》文中认为随着虚拟化技术的不断普及,用户可以自由的创建、迁移和共享各种类型的虚拟化操作系统与应用软件,享受这项技术所带来的便利。然而,由于计算机系统所具有的开放性,用户时刻都面临着各种各样的入侵攻击。虚拟机自省(Virtual Machine Introspection,VMI)技术由于能够兼顾高能见度与良好隔离性,为用户虚拟机系统提供更好的安全保障,得到广泛的研究和关注。论文以KVM虚拟机管理器为平台,设计并实现了一种虚拟机自省系统。该系统克服了VMI中的“语义鸿沟”障碍,对KVM平台上虚拟机系统中的运行状态进行“盒外”的语义还原。它将VMI视图(“盒外”)中看到的物理页面、寄存器、设备等虚拟机系统抽象信息在“盒外”还原为虚拟机系统内部视图(“盒内”)所能看到的进程、内核模块等语义对象,以及虚拟机系统内部的系统调用、中断等语义事件,以对虚拟机系统进行有效监控。为此,需要在KVM中添加hooks以允许对内存、寄存器和设备的状态进行检查,并且允许介入和解释特定的事件,比如中断、系统调用和设备/内存/寄存器状态的更改等。论文基于KVM开发出一套完善的针对目标虚拟机系统的VMI基础框架库,以动态链接库的形式提供一套完整的VMI API接口函数。该VMI基础框架库既包含虚拟机系统静态内容的自省,比如物理页面、寄存器、硬盘设备、I/O设备等,又包含虚拟机动态事件的自省,比如系统调用、中断、寄存器/内存页面/设备等状态的改变等。与现有方案相比,该VMI基础框架库涵盖的内容更加全面,可扩展性更好。测试结果验证了VMI基础框架库的有效性和高效性。
孙志峰,赵文涛,游超,董彬[9](2014)在《一种基于Multi-Agent恶意代码行为捕获方案的设计与实现》文中指出恶意代码行为捕获是进行恶意代码行为分析,提高防御恶意代码能力的基础。当前,随着恶意代码技术的发展,恶意代码结构及其通信活动日益复杂,使得传统的恶意代码行为捕获技术难以有效应对恶意代码的攻击与破坏。如何更加有效地捕获恶意代码行为成了目前信息安全领域的研究热点。基于此目的,本文在充分利用Agent的自主性和适应性,实时采集目标系统的状态信息的基础上,提出了一种基于多Agent的恶意代码行为捕获方案,分析了其行为捕获流程,介绍了功能模块组成,并基于Windows平台实现了该方案,为下一步针对恶意代码分析及防御提供了良好的基础。
游超[10](2014)在《支持恶意代码行为分析的行为捕获系统的设计与实现》文中指出恶意代码行为捕获是开展恶意代码行为分析,提高恶意代码防御能力的基础。当前,随着恶意代码技术的发展,恶意代码结构及其通信活动变的日益复杂,使得传统的恶意代码行为捕获技术难以有效应对恶意代码的攻击与破坏。如何更加有效地捕获恶意代码行为成了目前信息安全领域的研究热点。众所周知,恶意代码行为捕获关注的是恶意行为本身,如能对恶意行为进行全面准确描述,必将有效提高行为捕获效率与准确率。基于此目的,本文以全面描述恶意代码行为特征为切入点,设计并实现了恶意代码行为捕获原型系统,试图为恶意代码行为分析提供支持,主要做了以下几方面工作:第一,分析和研究了恶意代码相关技术,从恶意代码定义着手,重点介绍了典型恶意行为、已有行为分析方法及行为捕获技术,为行为捕获系统的设计奠定了基础。第二,提出一种基于多维特征的恶意代码行为描述方法,从恶意代码行为时序、行为类型、依赖特征等多个维度来描述恶意代码特征,更加有效地描述了恶意代码的本质特征,并将此方法应用于恶意代码检测。通过实例检测表明,该方法能有效降低恶意干扰的影响,提高恶意行为捕获效率和准确率。第三,提出一种基于多Agent的恶意代码行为捕获方案,充分利用agent的自主性和适应性,实时采集目标系统的状态信息,为行为捕获系统的实现提供了架构支撑。最后,设计并实现了恶意代码行为捕获原型系统。通过对代表性恶意代码样本进行捕获分析,从恶意行为捕获的准确率和AUC曲线精度两个角度,验证了本文方法优于已有的基于平均距离的恶意代码检测法。
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 国内外研究现状 |
| 1.3 目的和意义 |
| 1.4 论文结构 |
| 第二章 符号执行概述 |
| 2.1 符号执行的定义与挑战 |
| 2.1.1 静态符号执行 |
| 2.1.2 动态符号执行 |
| 2.1.3 符号执行挑战 |
| 2.2 中间语言 |
| 2.2.1 中间语言特点 |
| 2.2.2 LLVM |
| 2.2.3 VEX |
| 2.3 约束求解 |
| 2.3.1 约束满足问题 |
| 2.3.2 SMT求解器 |
| 2.3.3 约束求解在符号执行中的优化 |
| 2.3.4 常用求解器 |
| 2.4 内存模型 |
| 2.4.1 静态符号执行的内存模型 |
| 2.4.2 动态符号执行的内存模型 |
| 2.5 常见符号执行工具介绍 |
| 2.5.1 KLEE |
| 2.5.2 Angr |
| 2.5.3 其他语言的符号执行 |
| 2.6 符号执行应用场景 |
| 2.6.1 测试用例生成 |
| 2.6.2 漏洞利用自动化 |
| 2.7 本章小结 |
| 第三章 APT样本分析与反分析技术研究 |
| 3.1 恶意代码主流分析技术 |
| 3.1.1 静态分析技术 |
| 3.1.2 动态分析技术 |
| 3.1.3 基于语义的分析技术 |
| 3.2 APT样本反静态分析-混淆 |
| 3.3 APT样本反动态分析-反沙箱技术 |
| 3.3.1 基于系统的反沙箱技术 |
| 3.3.2 基于硬件的反沙箱技术 |
| 3.3.3 基于进程的反沙箱技术 |
| 3.3.4 采用特殊方法的反沙箱技术 |
| 3.4 本章小结 |
| 第四章 对抗APT样本反沙箱检测方法研究 |
| 4.1 反沙箱对符号执行的影响 |
| 4.2 符号执行系统选择 |
| 4.3 Angr完善方法 |
| 4.3.1 Win32 API挂钩 |
| 4.3.2 VEX指令修补 |
| 4.3.3 内存结构完善 |
| 4.4 托底方案 |
| 4.5 反沙箱IOC生成 |
| 4.6 本章小节 |
| 第五章 原型系统设计实现与实验评估 |
| 5.1 原型系统总体架构 |
| 5.2 对抗反沙箱检测的实现方法 |
| 5.2.1 Win32 API挂钩实现 |
| 5.2.2 VEX指令修补实现 |
| 5.2.3 内存结构完善实现 |
| 5.2.4 托底方案实现 |
| 5.2.5 实现总结 |
| 5.3 原型系统评估 |
| 5.3.1 分析脚本编写 |
| 5.3.2 纵向比较 |
| 5.3.3 横向比较 |
| 5.3.4 实例分析 |
| 5.4 本章小结 |
| 第六章 结束语 |
| 6.1 主要工作与创新点 |
| 6.2 后续研究工作 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间已发表或录用的论文 |
| 攻读硕士学位期间专利的申请 |
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景和意义 |
| 1.2 云计算虚拟化技术介绍 |
| 1.2.1 云计算技术的发展现状 |
| 1.2.2 虚拟化技术的发展现状 |
| 1.2.3 虚拟化技术中的核心技术 |
| 1.2.4 虚拟机自省技术介绍 |
| 1.3 研究内容和主要贡献 |
| 1.4 论文组织结构 |
| 2 云环境下虚拟机内恶意行为检测与起源追踪框架 |
| 2.1 传统安全威胁分析 |
| 2.1.1 典型高级可持续威胁及其特点 |
| 2.1.2 ROP攻击介绍 |
| 2.2 恶意软件检测技术发展现状 |
| 2.3 起源追踪技术发展现状 |
| 2.3.1 起源追踪模型 |
| 2.3.2 现有起源追踪方案及其局限性 |
| 2.4 ROP防御技术发展现状 |
| 2.5 云环境下虚拟机内恶意行为检测与起源追踪框架 |
| 2.6 本章小结 |
| 3 针对数据泄漏行为的恶意软件检测方案 |
| 3.1 典型攻击样例分析 |
| 3.2 检测入侵的扩展攻击树模型 |
| 3.3 检测方案的有限状态机模型 |
| 3.4 具体部署方案 |
| 3.5 低级行为收集 |
| 3.6 推断规则 |
| 3.7 实验验证与性能分析 |
| 3.7.1 实验设计 |
| 3.7.2 检测方案的有效性评估 |
| 3.7.3 检测方案的性能评估 |
| 3.8 本章小结 |
| 4 基于上下文感知的透明起源收集方法 |
| 4.1 现有起源追踪方法的局限性 |
| 4.2 基于上下文感知的透明起源收集方法 |
| 4.3 透明起源收集方法的系统结构 |
| 4.4 事件收集模块的字段收集方案 |
| 4.5 事件收集模块的运行时操作解析 |
| 4.6 日志处理模块 |
| 4.7 实验验证与性能分析 |
| 4.7.1 实验设计 |
| 4.7.2 攻击调查 |
| 4.7.3 性能测试与分析 |
| 4.8 本章小结 |
| 5 基于关联日志图的起源追踪方案 |
| 5.1 起源追踪流程 |
| 5.2 事件关联算法 |
| 5.3 事件过滤算法 |
| 5.4 全景图构建算法 |
| 5.5 实验验证与性能分析 |
| 5.5.1 实验设计 |
| 5.5.2 数据收集 |
| 5.5.3 钓鱼攻击场景的起源追踪流程 |
| 5.5.4 数据过滤算法效果评估 |
| 5.6 本章小结 |
| 6 基于虚拟机自省的ROP防御机制 |
| 6.1 ROP防御的研究目标与研究动机 |
| 6.2 ROP防御机制设计 |
| 6.3 静态分析模块 |
| 6.4 增量训练模块 |
| 6.5 基于虚拟机自省的软剥离模块 |
| 6.6 实验验证与性能分析 |
| 6.6.1 实验设计 |
| 6.6.2 安全评估 |
| 6.6.3 性能评估 |
| 6.7 本章小结 |
| 7 总结与展望 |
| 参考文献 |
| 攻博期间的科研成果 |
| 本文研究得到以下基金项目支持 |
| 致谢 |
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 课题背景和意义 |
| 1.2 国内外研究现状分析 |
| 1.3 研究内容 |
| 1.4 论文的组织结构 |
| 第2章 恶意软件技术分析 |
| 2.1 恶意软件 |
| 2.1.1 恶意软件分类 |
| 2.1.2 恶意软件感染方式 |
| 2.1.3 恶意软件的代码混淆技术 |
| 2.1.4 静态恶意软件检测技术 |
| 2.1.5 动态恶意软件检测技术 |
| 2.2 Windows API |
| 2.2.1 Windows API |
| 2.2.2 Windows API调用 |
| 2.2.3 内核与用户模式 |
| 2.2.4 Process Monitor与Process Explorer工具简介 |
| 2.3 本章小结 |
| 第3章 内核级系统API的恶意软件模型设计 |
| 3.1 整体目标 |
| 3.2 基于内核级系统API的恶意软件检测模型设计 |
| 3.3 基于行为分类的检测技术 |
| 3.4 基于内核层挂钩文件技术 |
| 3.4.1 内核级的系统调用Hook |
| 3.4.2 内核态的恶意代码隐藏行为 |
| 3.4.3 基于内核API的恶意代码动态检测方法 |
| 3.4.4 对DLL动态链接库注入的检测 |
| 3.4.5 对特洛伊木马化二进制代码注入的检测 |
| 3.5 基于TDI虚拟化的网络检测模型技术研究 |
| 3.6 APC注入检测方法 |
| 3.7 恶意软件来源及恶意软件样本分析 |
| 3.8 本章小结 |
| 第4章 基于系统API的恶意软件检测系统实现 |
| 4.1 系统总体设计 |
| 4.2 检测系统子模块设计 |
| 4.2.1 文件行为检测模块设计 |
| 4.2.2 进程行为检测模块设计 |
| 4.2.3 注册表行为检测模块设计 |
| 4.2.4 网络行为检测模块设计 |
| 4.2.5 内核行为检测模块设计 |
| 4.2.6 判断子系统设计 |
| 4.3 本章小结 |
| 第5章 恶意软件检测系统的测试 |
| 5.1 测试环境介绍 |
| 5.2 系统界面程序 |
| 5.3 系统功能有效性测试与分析 |
| 5.4 测试结果分析 |
| 结论 |
| 参考文献 |
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.3 研究内容 |
| 1.4 论文结构 |
| 第二章 恶意USB设备攻击概述 |
| 2.1 BYOD设备介绍 |
| 2.1.1 BYOD设备攻击事件 |
| 2.1.2 BYOD设备隐患 |
| 2.2 USB设备介绍 |
| 2.2.1 USB设备通信过程 |
| 2.2.2 USB设备描述 |
| 2.2.3 HID设备描述 |
| 2.3 组合设备与复合设备 |
| 2.4 本章小结 |
| 第三章 恶意USB设备的基本攻击技术 |
| 3.1 恶意USB设备介绍 |
| 3.1.1 键盘主动键入 |
| 3.1.2 权限获取 |
| 3.1.3 Teensy实现 |
| 3.2 物理存储功能拓展 |
| 3.3 本章小结 |
| 第四章 恶意USB设备的高级攻击技术 |
| 4.1 突破网络隔离封锁的外联技术 |
| 4.1.1 拓展外设实现联网攻击 |
| 4.1.2 软件外联网络实现 |
| 4.2 绕过安全防护软件的后门技术 |
| 4.2.1 脚本攻击实现 |
| 4.2.2 系统脚本组件实现 |
| 4.2.3 后门攻击实现 |
| 4.2.4 永久后门攻击实现 |
| 4.3 对抗磁盘取证软件的隐蔽技术 |
| 4.4 本章小结 |
| 第五章 恶意USB设备的安全防御技术 |
| 5.1 研究现状 |
| 5.2 防御技术分析 |
| 5.3 系统实现 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 本文总结 |
| 6.2 研究展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间已发表或录用的论文 |
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 云计算与虚拟化 |
| 1.2 计算机病毒与云安全 |
| 1.3 研究意义与本文结构 |
| 第二章 相关技术研究 |
| 2.1 虚拟机自省技术 |
| 2.1.1 简述虚拟化技术 |
| 2.1.2 虚拟机自省的原理与实现方式 |
| 2.1.3 虚拟机自省技术的研究现状 |
| 2.2 计算机病毒与检测 |
| 2.2.1 病毒的分类与识别 |
| 2.2.2 病毒检测与行为分析技术 |
| 2.3 Xen虚拟化技术 |
| 2.3.1 Xen的内存虚拟化 |
| 2.3.2 CPU的虚拟化 |
| 2.3.3 I/O设备的虚拟化 |
| 2.3.4 总结 |
| 2.4 本章小结 |
| 第三章 基于虚拟机自省的病毒检测系统设计 |
| 3.1 行为特征库提取模块 |
| 3.1.1 病毒样本自动分析引擎 |
| 3.1.2 提取行为特征技术 |
| 3.2 虚拟机自省模块 |
| 3.2.1 行为获取模块 |
| 3.2.2 病毒检测模块 |
| 3.3 本章小结 |
| 第四章 基于虚拟机自省的病毒检测系统实现 |
| 4.1 病毒行为特征库自动分析提取技术 |
| 4.1.1 Cuckoo沙盒分析工具 |
| 4.1.2 病毒行为分析与特征提取 |
| 4.2 基于虚拟机自省的病毒检测技术实现 |
| 4.2.1 虚拟机自省工具 |
| 4.2.2 获取行为模块实现 |
| 4.2.3 病毒检测模块实现 |
| 4.3 本章小结 |
| 第五章 系统测试与分析 |
| 5.1 搭建实验环境 |
| 5.2 病毒检测系统性能测试 |
| 5.2.1 Zeus病毒行为检测分析 |
| 5.2.2 病毒行为分析与检测系统测试 |
| 第六章 总结与展望 |
| 6.1 本文主要工作 |
| 6.2 研究展望 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
| 1.最直接的检测方法 |
| 2.通用捆绑型木马检测技术 |
| 3.对付隐匿型捆绑文件的方法 |
| 摘要 |
| ABSTRACT |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.2.1 传统入侵检测系统 |
| 1.2.2 虚拟机自省 |
| 1.3 论文的主要工作 |
| 1.4 论文组织结构 |
| 1.5 本章小结 |
| 第二章 虚拟机自省相关技术研究 |
| 2.1 虚拟化简介 |
| 2.1.1 虚拟化定义 |
| 2.1.2 虚拟化技术分类 |
| 2.2 主流虚拟机监视器介绍分析 |
| 2.2.1 XEN |
| 2.2.2 KVM |
| 2.2.3 VMware |
| 2.3 虚拟机自省技术 |
| 2.3.1 虚拟机自省技术概述 |
| 2.3.2 虚拟机自省技术的实现方式和难点 |
| 2.4 本章小结 |
| 第三章 基于KVM的虚拟机自省系统设计 |
| 3.1 系统设计目标 |
| 3.2 系统总体设计方案 |
| 3.3 各功能模块详细设计 |
| 3.3.1 静态监控 |
| 3.3.2 动态监控 |
| 3.4 本章小结 |
| 第四章 原型系统实现 |
| 4.1 VMI库函数层实现 |
| 4.2 QEMU-KVM源代码的修改 |
| 4.2.1 QEMU-KVM源代码介绍 |
| 4.2.2 QEMU-KVM源代码的修改 |
| 4.3 KVM源代码的修改 |
| 4.3.1 KVM源代码介绍 |
| 4.3.2 KVM源代码的修改 |
| 4.4 本章小结 |
| 第五章 原型系统测试与分析 |
| 5.1 搭建系统测试环境 |
| 5.1.1 原型系统安装所需软件包 |
| 5.1.2 原型系统运行 |
| 5.2 原型系统测试结果 |
| 5.2.1 功能测试 |
| 5.2.2 性能损耗测试 |
| 5.2.3 系统测试结果分析 |
| 5.3 本章小结 |
| 第六章 总结与展望 |
| 6.1 论文工作总结 |
| 6.2 下一步工作展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
| 1引言 |
| 2行为捕获原型系统体系结构 |
| 3模块功能介绍 |
| 3.1信息采集子系统 |
| 3.2匹配推理子系统 |
| 3.3行为捕获子系统 |
| 3.4数据库子系统 |
| 4系统实现 |
| 4.1实现平台 |
| 4.2类图分析 |
| 4.3数据库建立 |
| 4.4系统实现 |
| 5结束语 |
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 国内外研究现状 |
| 1.2.1 恶意代码行为捕获技术发展历程 |
| 1.2.2 恶意代码行为捕获工具 |
| 1.3 本文工作 |
| 1.4 论文结构 |
| 第二章 相关技术 |
| 2.1 恶意代码技术 |
| 2.1.1 恶意代码定义及分类 |
| 2.1.2 恶意代码传播机制 |
| 2.2 恶意代码行为 |
| 2.2.1 典型恶意行为 |
| 2.2.2 恶意行为描述模型 |
| 2.2.3 恶意代码分析 |
| 2.3 恶意代码行为捕获技术 |
| 2.3.1 恶意代码行为描述研究 |
| 2.3.2 密罐技术 |
| 2.3.3 变化检测 |
| 2.3.4 API-hook |
| 2.4 本章小节 |
| 第三章 基于多维特征的恶意代码行为描述方法 |
| 3.1 恶意代码行为描述的一般性问题 |
| 3.1.1 恶意代码行为的一般描述方法 |
| 3.1.2 恶意代码行为混淆 |
| 3.2 基于多维特征的行为描述方法 |
| 3.2.1 恶意代码行为间依赖特征识别 |
| 3.2.2 多维特征法 |
| 3.3 多维特征法在恶意代码检测中的应用 |
| 3.3.1 多维特征法应用实例分析 |
| 3.3.2 基于多维特征法的行为矩阵 |
| 3.3.3 恶意行为相似度计算 |
| 3.4 本章小节 |
| 第四章 基于Multi-Agent的恶意代码行为捕获方案 |
| 4.1 多Agent系统 |
| 4.1.1 Agent技术 |
| 4.1.2 多Agent系统 |
| 4.2 基于多Agent的行为捕获模型 |
| 4.2.1 基于多Agent的行为捕获架构 |
| 4.2.2 多Agent协同的行为捕获流程 |
| 4.3 Agent的设计 |
| 4.3.1 采集Agent的设计 |
| 4.3.2 管理Agent的设计 |
| 4.4 本章小节 |
| 第五章 行为捕获原型系统设计与实现 |
| 5.1 行为捕获原型系统整体结构 |
| 5.1.1 行为捕获框架 |
| 5.1.2 行为捕获流程 |
| 5.2 模块功能介绍 |
| 5.2.1 信息采集子系统 |
| 5.2.2 匹配推理子系统 |
| 5.2.3 行为捕获子系统 |
| 5.2.4 数据库子系统 |
| 5.3 系统实现 |
| 5.3.1 实现平台 |
| 5.3.2 类图分析 |
| 5.3.3 数据库建立 |
| 5.3.4 系统展示 |
| 5.4 验证分析 |
| 5.4.1 数据集 |
| 5.4.2 数据预处理 |
| 5.4.3 验证标准 |
| 5.4.4 对比算法描述 |
| 5.4.5 验证结果及分析 |
| 5.5 本章小节 |
| 第六章 总结与展望 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
