通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn),U盤已成為病毒和木馬程序傳播的主要途徑之一。在已經(jīng)發(fā)現(xiàn)的具有重大影響且造成嚴重損失的惡意代碼中,有很大一部分惡意代碼通過可移動存儲設備傳播或者竊密。現(xiàn)階段在惡意代碼檢測方面存在的問題是：反病毒軟件主要針對大眾用戶,對利用可移動存儲設備傳播或者竊密的惡意代碼的檢測主要是基于對已知惡意代碼的特征檢測,對利用可移動存儲設備傳播或者竊密的特定未知惡意代碼檢測能力較弱。在惡意代碼追蹤溯源方面存在的問題是：已有的惡意代碼追蹤技術主要是基于對網(wǎng)絡數(shù)據(jù)包的分析,有很大的局限性。本文研究了利用可移動存儲設備傳播或者竊密的特定惡意代碼的攻擊技術原理和相應的檢測方法。通過對追蹤溯源案例的分析,提出一個將自動提取具有追蹤溯源價值的特征信息與追蹤數(shù)據(jù)庫關聯(lián)查詢的追蹤溯源方法。本文通過針對“震網(wǎng)”病毒、“火焰”病毒和“U盤殺手”等一系列惡意代碼與卡巴斯基對Winnti的追蹤溯源案例進行深入分析,提出了通過將內(nèi)核監(jiān)控、PE文件深入分析與追蹤數(shù)據(jù)庫相互結合,形成一個針對利用可移動存儲設備傳播或者竊密的特定惡意代碼檢測、分析和追蹤于一體的完整防御體系平臺。最后通過實驗驗證該系統(tǒng)能夠檢測到利用可移... 

【文章來源】：東北大學遼寧省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：77 頁

【學位級別】：碩士

【文章目錄】：
摘要
Abstract
第1章 引言
    1.1 可移動存儲設備安全的研究背景與意義
    1.2 論文工作
    1.3 本文組織結構
第2章 惡意代碼檢測技術綜述
    2.1 惡意代碼分析技術
        2.1.1 靜態(tài)分析技術
        2.1.2 動態(tài)分析技術
    2.2 惡意代碼檢測技術
        2.2.1 特征碼檢測
        2.2.2 啟發(fā)式檢測
        2.2.3 完整性檢測
        2.2.4 行為檢測技術
        2.2.5 虛擬機檢測
        2.2.6 云檢測
    2.3 本章小結
第3章 PE結構分析與文件過濾技術研究
    3.1 PE結構分析技術研究
        3.1.1 DOS部首特征分析
        3.1.2 PE文件頭分析
        3.1.3 塊表分析
        3.1.4 導入表分析
        3.1.5 導出表分析
        3.1.6 資源表分析
        3.1.7 特征提取
    3.2 文件過濾技術研究
        3.2.1 WindowsNT5.0系統(tǒng)結構
        3.2.2 I/O請求過程
        3.2.3 術語
        3.2.4 讀寫操作過濾技術研究
        3.2.5 其他操作的過濾技術研究
    3.3 本章小結
第4章 特定惡意代碼的追蹤技術研究
    4.1 特定惡意代碼攻擊技術分析
        4.1.1 特定惡意代碼介紹
        4.1.2 特定惡意代碼利用漏洞技術
    4.2 PE分析檢測技術
        4.2.1 系統(tǒng)模型
        4.2.2 特征選取
        4.2.3 分類學習算法
    4.3 進程監(jiān)控技術
        4.3.1 進程隱藏原理
        4.3.2 線程調(diào)度機制
        4.3.3 基于線程調(diào)度的進程監(jiān)控機制
    4.4 文件監(jiān)控技術
        4.4.1 系統(tǒng)概述
        4.4.2 系統(tǒng)原理
    4.5 追蹤數(shù)據(jù)庫
        4.5.1 概述
        4.5.2 可行性分析
        4.5.3 數(shù)據(jù)收集
    4.6 系統(tǒng)原型架構
    4.7 本章小結
第5章 實驗結果和分析
    5.1 實驗環(huán)境
    5.2 實驗過程
        5.2.1 進程監(jiān)控
        5.2.2 文件監(jiān)控
        5.2.3 PE分析
    5.3 實驗結果分析
第6章 總結與展望
    6.1 總結
    6.2 不足與展望
參考文獻
致謝
攻讀碩士期間參加的項目



本文編號：3524948