本文關(guān)鍵詞：基于動(dòng)態(tài)鏈接庫的惡意進(jìn)程自動(dòng)取證分析技術(shù)研究　出處：《南京大學(xué)》2015年碩士論文　論文類型：學(xué)位論文

  更多相關(guān)文章： 計(jì)算機(jī)取證 易失性內(nèi)存 惡意軟件進(jìn)程 動(dòng)態(tài)鏈接庫 數(shù)據(jù)挖掘

【摘要】：隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展,不斷增長的硬盤存儲(chǔ)空間、越來越復(fù)雜的加密軟件技術(shù)以及僅駐留內(nèi)存型惡意軟件的出現(xiàn)與發(fā)展等因素都給傳統(tǒng)的以磁盤取證為代表的面向持久化數(shù)據(jù)的計(jì)算機(jī)取證方式帶來了巨大的挑戰(zhàn)。而針對(duì)易失性內(nèi)存的取證研究越來越受到人們的關(guān)注。內(nèi)存取證領(lǐng)域在近些年也獲得了長足的發(fā)展。但目前的內(nèi)存取證方法的關(guān)注點(diǎn)主要集中在如何獲取內(nèi)存證據(jù)以及如何恢復(fù)內(nèi)存中的數(shù)據(jù)結(jié)構(gòu)。而涉及到如何自動(dòng)化地將惡意進(jìn)程從眾多進(jìn)程數(shù)據(jù)中識(shí)別出來、在高層語義層次上分析它們的行為從而收集相關(guān)證據(jù)的研究并不多見。事實(shí)上在實(shí)際案例中,取證調(diào)查者們常常需要面對(duì)大量他們并沒有先驗(yàn)知識(shí)的未知進(jìn)程。即使對(duì)于有經(jīng)驗(yàn)的專家來說,研究這些進(jìn)程并識(shí)別出其中的惡意進(jìn)程仍然需要消耗大量的時(shí)間和精力。盡管當(dāng)前主流的商業(yè)惡意軟件檢測(cè)工具可以為檢測(cè)工作提供一些幫助,但是由于設(shè)計(jì)目的不同,它們通常不能揭示惡意軟件的目的、能力構(gòu)成以及行為細(xì)節(jié),因而并不能很好地滿足取證工作的需求�；谏鲜霰尘�,本文提出了一種基于進(jìn)程動(dòng)態(tài)鏈接庫信息和數(shù)據(jù)挖掘技術(shù)的惡意進(jìn)程自動(dòng)取證分析框架。框架由惡意進(jìn)程自動(dòng)識(shí)別技術(shù)、惡意進(jìn)程自動(dòng)分組技術(shù)和進(jìn)程證據(jù)自動(dòng)獲取技術(shù)三部分組成。當(dāng)給定一些未知進(jìn)程時(shí),通過基于動(dòng)態(tài)鏈接庫的模型以及隱藏樸素貝葉斯分類方法實(shí)現(xiàn)的組件可以自動(dòng)將惡意進(jìn)程區(qū)分出來。而通過聚類分析實(shí)現(xiàn)的組件則進(jìn)一步將惡意進(jìn)程分組歸類,從而揭示目標(biāo)惡意進(jìn)程的更多細(xì)節(jié)信息。最終基于頻繁項(xiàng)集分析的組件將進(jìn)一步引導(dǎo)調(diào)查者進(jìn)行證據(jù)收集。該框架不僅適用于離線分析場(chǎng)景也可以應(yīng)用到實(shí)時(shí)分析場(chǎng)景�；谡鎸�(shí)惡意軟件的實(shí)驗(yàn)數(shù)據(jù)表明該框架的識(shí)別準(zhǔn)確率超過90%而時(shí)間消耗僅為數(shù)秒。
[Abstract]:......
【學(xué)位授予單位】：南京大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP333;TP309

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 黃鳳坡;;對(duì)動(dòng)態(tài)鏈接庫的初探[J];赤峰學(xué)院學(xué)報(bào)(自然科學(xué)版);2007年02期

2 關(guān)素榮,王曉東;16/32位動(dòng)態(tài)鏈接庫的建立與調(diào)用[J];冶金自動(dòng)化;2000年03期

3 張世祿,彭磊;利用動(dòng)態(tài)鏈接庫提高代碼可重用性[J];計(jì)算機(jī)應(yīng)用;2001年S1期

4 陳峰;使用資源動(dòng)態(tài)鏈接庫實(shí)現(xiàn)多語種支持[J];電腦編程技巧與維護(hù);2001年09期

5 步山岳;動(dòng)態(tài)鏈接庫DLL創(chuàng)建和使用[J];電腦學(xué)習(xí);2002年01期

6 賈振華,何麗娟;用戶動(dòng)態(tài)鏈接庫的創(chuàng)建與應(yīng)用[J];華北航天工業(yè)學(xué)院學(xué)報(bào);2002年04期

7 步山岳;動(dòng)態(tài)鏈接庫DLL[J];微型電腦應(yīng)用;2002年01期

8 張仁彥,陳延國,高振東;在Visual Basic6.0環(huán)境下實(shí)現(xiàn)動(dòng)態(tài)鏈接庫的創(chuàng)建和調(diào)用[J];應(yīng)用科技;2002年08期

9 步山岳;動(dòng)態(tài)鏈接庫DLL[J];電腦編程技巧與維護(hù);2002年05期

10 趙鳳芝,司健君;基于Super scape VRT SDK動(dòng)態(tài)鏈接庫的設(shè)計(jì)與實(shí)現(xiàn)[J];微計(jì)算機(jī)應(yīng)用;2002年02期

相關(guān)會(huì)議論文 前2條

1 伊翠香;孫玲玲;楚萬慧;張富強(qiáng);;淺談動(dòng)態(tài)鏈接庫DLL編程技術(shù)[A];晉冀豫鄂蒙川云貴甘滬湘魯十二省區(qū)市機(jī)械工程學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集（山東、四川分冊(cè)）[C];2007年

2 宛勁松;;多語言動(dòng)態(tài)鏈接庫綜合編程技術(shù)[A];湖北省公路交通科技2003年會(huì)論文集[C];2003年

相關(guān)重要報(bào)紙文章 前3條

1 遼寧 QS;徹底修復(fù)動(dòng)態(tài)鏈接庫[N];電腦報(bào);2004年

2 湖南 徐科;系統(tǒng)穩(wěn)定衛(wèi)士safelnstall98[N];中國電腦教育報(bào);2001年

3 段秀華 李文連;用PB調(diào)用VC編制的DLL[N];計(jì)算機(jī)世界;2001年

相關(guān)碩士學(xué)位論文 前10條

1 端一恒;基于動(dòng)態(tài)鏈接庫的惡意進(jìn)程自動(dòng)取證分析技術(shù)研究[D];南京大學(xué);2015年

2 胡俊夫;基于動(dòng)態(tài)鏈接庫的擺渡木馬設(shè)計(jì)方法研究[D];哈爾濱工程大學(xué);2012年

3 倪華娟;面紙箱設(shè)計(jì)軟件中Delphi動(dòng)態(tài)鏈接庫（DLL）的實(shí)現(xiàn)[D];電子科技大學(xué);2011年

4 劉冬波;WINDOWS系統(tǒng)中PE文件內(nèi)容的獲取[D];山東大學(xué);2011年

5 陳盼;基于DIC的變形測(cè)量算法研究及動(dòng)態(tài)鏈接庫設(shè)計(jì)[D];合肥工業(yè)大學(xué);2014年

6 薛凱;基于動(dòng)態(tài)鏈接庫的小幅面掃描儀驅(qū)動(dòng)程序的設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2013年

7 陳中奇;基于動(dòng)態(tài)鏈接庫的多CCD掃描儀驅(qū)動(dòng)程序設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2012年

8 莊恒凱;基于動(dòng)態(tài)鏈接庫的單CCD掃描儀驅(qū)動(dòng)程序設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2011年

9 廖亮;基于MS-Windows的通信編碼仿真平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[D];西南交通大學(xué);2005年

10 劉瑩;ABS SOFTWARE 研究的新進(jìn)展，，ABSDLL01& WinABS01[D];大連理工大學(xué);2001年

本文編號(hào)：1349053