惡意代碼通過多種手段在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中迅速傳播，對(duì)信息安全產(chǎn)生嚴(yán)重影響。近幾年，計(jì)算機(jī)病毒、蠕蟲和木馬等惡意代碼在技術(shù)上逐步趨向交叉和融合，其攻擊力、破壞力和生存能力都顯著增強(qiáng)，這給惡意代碼的檢測(cè)、防御和清除工作帶來嚴(yán)峻挑戰(zhàn)。因此，研究惡意代碼的檢測(cè)技術(shù)對(duì)其防治工作具有重要的現(xiàn)實(shí)意義。本文針對(duì)傳統(tǒng)沙箱在用戶空間中對(duì)系統(tǒng)API函數(shù)調(diào)用進(jìn)行監(jiān)控，很容易被惡意代碼繞過，并且，基于虛擬機(jī)和仿真環(huán)境的檢測(cè)方法過多的消耗系統(tǒng)資源，且容易被惡意代碼的防御檢測(cè)機(jī)制發(fā)現(xiàn)的缺點(diǎn)，使用內(nèi)核級(jí)的API Hook技術(shù)，對(duì)惡意代碼的系統(tǒng)API函數(shù)調(diào)用進(jìn)行更底層的監(jiān)控和攔截，對(duì)惡意行為進(jìn)行內(nèi)核級(jí)的監(jiān)控；使用基于操作系統(tǒng)級(jí)系統(tǒng)調(diào)用接口資源的重命名機(jī)制，對(duì)惡意代碼請(qǐng)求的系統(tǒng)資源進(jìn)行重定向，使其操作重定向以后的系統(tǒng)資源，或者對(duì)該系統(tǒng)調(diào)用操作進(jìn)行虛擬化，從而，實(shí)現(xiàn)了一個(gè)真實(shí)且隔離的惡意代碼執(zhí)行環(huán)境。并且，沙箱可以盡可能多的共享操作系統(tǒng)資源，使用只對(duì)惡意行為進(jìn)行監(jiān)控，對(duì)非惡意行為放行的策略，滿足了構(gòu)建高性能沙箱的要求，并保證了惡意代碼在沙箱中能夠完整執(zhí)行，實(shí)現(xiàn)了檢測(cè)過程的有效性和完整性。本文主要針對(duì)Windows操作系統(tǒng)的... 

【文章來源】：哈爾濱工程大學(xué)黑龍江省 211工程院校

【文章頁數(shù)】：68 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

AHVE沙箱運(yùn)行界面截圖

沙箱系統(tǒng)的部署環(huán)境網(wǎng)絡(luò)主機(jī)個(gè)人電腦容器互聯(lián)網(wǎng)

在仿真實(shí)驗(yàn)中，根據(jù)檢測(cè)行為的 5 個(gè)種類，定義了 5 個(gè)行為檢測(cè)有效性公文件監(jiān)控有效性公式：( )( )( )×100%filefilefileSPR 注冊(cè)表監(jiān)控有效性公式：( )( )( )×100%regeditregeditregeditSPR 網(wǎng)絡(luò)監(jiān)控有效性公式：( )( )( )×100%networknetworknetworkSPR 進(jìn)程/線程監(jiān)控有效性公式：( & )( & )( & )×100%proc thrproc thrproc thrSPR 內(nèi)核模塊加載監(jiān)控有效性公式：( )( )( )×100%corecorecoreSPR 使用以上行為檢測(cè)有效性計(jì)算公式，對(duì)表 5.1 中每款沙箱檢測(cè)到的行為數(shù)據(jù)，得出有效性的百分比數(shù)據(jù)，畫出行為有效性的對(duì)比折線示意圖，如圖 5.3 所


本文編號(hào)：2990857