【摘要】：隨著信息技術的發(fā)展和互聯(lián)網的普及,人們的工作生活和網絡越來越不可分割。網絡給人們帶來了方便,但同時也帶來了各種各樣的安全問題。其中,具有高危害能力的惡意代碼給個人用戶、單位組織、國家政府等形成了巨大的安全威脅和經濟損失。為此,國內外有大量的研究人員針對惡意代碼開展相關研究。本文基于惡意代碼動態(tài)行為監(jiān)測技術,對惡意代碼進行行為信息捕獲、行為語義分析、異常行為告警并通過可視化平臺進行信息管理。本文首先闡述了惡意代碼分析系統(tǒng)的相關背景意義和發(fā)展現(xiàn)狀,然后從產品特點和用戶特征出發(fā)提出系統(tǒng)功能性需求和非功能性需求,并給出系統(tǒng)設計和實現(xiàn)的解決方案。本系統(tǒng)主要由監(jiān)測子系統(tǒng)和可視化子系統(tǒng)組成。監(jiān)測子系統(tǒng)使用API Hook,SSDT Hook技術以及基于決策樹的分析算法實現(xiàn)了主機進程、文件、網絡、注冊表操作行為的監(jiān)控和十種異常行為的識別等功能。可視化子系統(tǒng)基于SpringMVC和MyBatis框架構建Restful風格的Web服務,實現(xiàn)了異常行為的告警功能以及告警信息、主機信息、用戶信息、日志信息的管理功能。作者參與完成了以下工作:(1)設計并實現(xiàn)關于文件、進程的操作行為監(jiān)控模塊。(2)參與日志解析和十種異常行為分析模塊的設計與實現(xiàn)。(3)參與可視化子系統(tǒng)的業(yè)務功能設計與實現(xiàn)。(4)參與數(shù)據(jù)庫和界面交互的設計與實現(xiàn)。測試結果顯示,本系統(tǒng)能夠直接有效地針對惡意代碼的惡意行為進行有效捕獲,分析和告警,具備良好的行為監(jiān)測分析能力和信息管理能力,能夠符合用戶需求。
【學位授予單位】：北京交通大學
【學位級別】：碩士
【學位授予年份】：2018
【分類號】：TP393.08
【圖文】：

通過系統(tǒng)調用，被掛入到系統(tǒng)。每當消息發(fā)出，在到達窗口之前，鉤子可以逡逑先捕獲到該消息，此時鉤子可以對消息做處理操作，也可以不做操作繼續(xù)傳遞該逡逑消息，或者強制結束消息的傳遞［１６］。圖２－１為微軟操作系統(tǒng)的架構圖，在ｒｉｎｇ３層，逡逑所有的系統(tǒng)調用函數(shù)都會指向Ｎｔｄｌｌ．ｄｌｌ這個文件，在ｒｉｎｇＯ層由ＳＳＤＴ表找到內核逡逑層的系統(tǒng)調用函數(shù)完成。因此，鉤子機制允許應用程序截獲處理Ｗｉｎｄｏｗｓ消息或逡逑特定事件。逡逑Ｓｙ邋幻邋ｅｍｓｕｐｐｏａ邐Ｅｎｖｉｒｏｎ邋一逡逑ｐｒｏｃｅｓｓｅｓ邐Ｓｅｒｖｉｃｅ邋ｐｒｏｃｅｓｓｅｓ邐ＡｐｐｌｉｃａｔＪｏｎａ邐ｓｕｂｓｙｓｔｅｍｓ逡逑丨’一－１｝－邐＾ｉＨｌ邋邐邐逡逑ｉ邐ｉ邋“一柳卜伽蘩．ｐ邋ｒ咖１逡逑Ｊ邐二邐邋ｆ邐邐邐邋Ｊ邋Ｗｉｎｄｏｗｓ邋＂邋Ｊ－＊逡逑｜邋Ｗｉｎｔｏｇｏｎ邋｜邋Ｓｐｏｏｔｅｔ邐Ｅｙｐｔｏｔｖｒ邋Ｔ＼邋ｐ0＾ｘ￣］逡逑＿＿Ｌ邐＿＿＿邋Ｈ邐ｊ邋￣ｕｉｉＪ邐ｔ———ｐ逡逑Ｓｅｓｓｉｏｎ邐Ｓｅｒｖｉｃｅｓ．ｅｘｅ邐ａｐｆＡｃａｔｔｎｎ邋｜．丨．丨＿丨＿．＿＿＿．＂．？？？￣￣￣ｊ逡逑Ｍａｎａｇｅｒ邋｜｜邐｜邋Ｗｉｎ３ｇ邋Ｉ逡逑邐邐逡逑ｊ邐ＮｔｄＢ－ｄｌｌ邐＾邐ｊ逡逑Ｓｙｓｔｅｍ邐\b邋｜逡逑ｂｒｅａｄｓ邐邐邋■邋■＿邋■邋ＵｓｅＴｍ0ｄｅ逡逑，，邐＞邋ｒ邋＇邋ｒ邐

網絡上的兩個程序互相連接通信并進行數(shù)據(jù)交換，發(fā)起連接請求的的一端稱逡逑為Ｓｏｃｋｅｔ客戶端，接收連接請求的一端稱為Ｓｏｃｋｅｔ服務端。Ｓｏｃｋｅｔ使用ＴＣＰ／ＩＰ逡逑協(xié)議，封裝Ｓｏｃｋｅｔ編程接口［２（）］。圖２－２介紹了邋Ｓｏｃｋｅｔ服務端與客戶端的通信過程，逡逑主要分為三個步驟：服務器監(jiān)聽，客戶端請求，連接確認。服務器監(jiān)聽是指服務逡逑器通過監(jiān)控網絡狀態(tài)，等待連接的過程�？蛻舳苏埱笫侵缚蛻舳送ㄟ^給出地址和逡逑端口號，向目標服務器發(fā)起連接請求的過程。連接確認是指服務器接收連接請求逡逑后，答復客戶端，建立新線程，一旦客戶端接受信息并確認，連接就建立好了。逡逑．＾邋ＴＴＴ＾逡逑Ｃｌｉｅｎｔ邋Ｓｏｃｋｅｔ邋邐邐邋ｃｏｎｎｅｃｔ邋邐邐邋ｗｒｉｔｅ邋邋邋邋ｒｅａｄ邋邋邋邋ｃｌｏｓｅ逡逑圖２－２邋Ｓｏｃｋｅｔ服務端與客戶端通信原理圖逡逑Ｆｉｇｕｒｅ邋２－２邋Ｓｃｈｅｍａｔｉｃ邋ｏｆ邋ｓｏｃｋｅｔ邋ｃｏｎｎｅｃｔｉｏｎ逡逑２．３邐ＥｌａｓｔｉｃＳｅａｒｃｈ逡逑ＥｌａｓｔｉｃＳｅａｒｃｈ是一款基于Ｌｕｃｅｎｅ的搜索服務器。它是基于分布式的多用戶搜逡逑索引擎，該ＥＳ數(shù)據(jù)庫是采用ＲＥＳＴｆｕｌ邋ｗｅｂ標準接口形式提供數(shù)據(jù)庫訪問服務［２１］。逡逑ＥＳ采用ｊａｖａ語言開發(fā)，是開源文件存儲框架。其優(yōu)點是：功能全面、搜索效率高，逡逑存儲量大、性能好。逡逑９逡逑

【參考文獻】

相關期刊論文 前3條

1 蘇雪麗;袁丁;;Windows下兩種API鉤掛技術的研究與實現(xiàn)[J];計算機工程與設計;2011年07期

2 楊彥;黃皓;;基于攻擊樹的木馬檢測方法[J];計算機工程與設計;2008年11期

3 何志;范明鈺;羅彬杰;;基于遠程線程注入的進程隱藏技術研究[J];計算機應用;2008年S1期

相關博士學位論文 前1條

1 韓曉光;惡意代碼檢測關鍵技術研究[D];北京科技大學;2015年

相關碩士學位論文 前7條

1 李宇航;基于模型檢測的惡意行為分析[D];西安電子科技大學;2017年

2 汪堯;惡意代碼的網絡行為分析與識別技術研究[D];西安電子科技大學;2017年

3 吳昆明;基于系統(tǒng)調用的變形惡意代碼的行為特征檢測研究[D];電子科技大學;2017年

4 李海才;Hook技術在監(jiān)控與安全防護領域的應用與研究[D];武漢理工大學;2015年

5 徐朋;基于SOCKET的跨平臺通訊系統(tǒng)的研究與設計[D];大連理工大學;2015年

6 游超;支持惡意代碼行為分析的行為捕獲系統(tǒng)的設計與實現(xiàn)[D];國防科學技術大學;2014年

7 黃維維;基于Detours庫的木馬動態(tài)檢測技術[D];哈爾濱工業(yè)大學;2011年

本文編號：2732567