学位论文 > 优秀研究生学位论文题录展示

基于API Hook技术的Bot检测方法的研究与实现

作 者: 刘菲
导 师: 董晓梅
学 校: 东北大学
专 业: 计算机软件与理论
关键词: 僵尸网络 僵尸程序 BDA算法 格贴近度 F模式识别
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 8次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着网络的普及,僵尸网络(Botnet)已经成为现代社会最严重的安全威胁之一,如何有效地检测和防御僵尸网络已经成为当前各大安全研究机构重要且紧迫的研究课题。目前对于僵尸网络检测的研究主要集中在群体行为识别方面,对单个僵尸主机检测的研究较少。Al-Hammadi等人提出的基于API HOOK技术的僵尸主机检测方法是僵尸主机检测方面的一次新的尝试,取得了一些成果,但已有的研究方法较为有限,为保证主机的安全和网络服务的安全,需要新的更加有效的僵尸主机检测算法。针对僵尸网络对主机安全和网络安全影响日益严重的问题,本文在Al-Hammadi等人提出的基于键盘记录活动的僵尸主机检测方法的基础上,通过对原有的相关度确定方法加以改进,采用积差相关系数计算不同API调用的相关度,并加入新的行为特征,即窗口监视行为,提高了对具有键盘记录器的僵尸程序检测的准确率。另外,详细研究了Bot的其他行为特征,发现行为对应的API调用方面的特点,将键盘记录行为及窗口监视行为与其他Bot行为特征相关联,设计了Windows系统的Bot进程检测算法一BDA算法。BDA算法根据Bot的不同行为在API调用方面的特点,计算未知进程的不同行为对应于Bot进程和正常进程相应行为的隶属度,生成未知进程的模糊集,之后采用格贴近度定理得到未知进程的模糊集和事先制定的标准模糊集的贴近度,最后根据F模式识别方法对被监控的进程进行类型识别。实验结果表明,BDA算法对Bot进程的检测率较高,并能较好的区分正常进程和Bot进程,误报率较低。本文最后,在BDA算法的基础上,分析了僵尸程序(Bot)检测系统的功能需求,设计了两种API HOOK算法,实现了对运行进程和新创建进程特定API的截获,并进一步详细设计和实现了BotDetector原型系统。BotDetector原型系统可以监控系统内全部的可疑进程,并定期检查安全进程,以达到保护主机安全的目的。

全文目录


摘要  5-6
Abstract  6-10
第1章 绪论  10-14
  1.1 研究背景  10
  1.2 问题的提出  10-12
  1.3 本文工作  12-13
  1.4 本文结构  13-14
第2章 僵尸网络研究  14-28
  2.1 Botnet的定义  14-15
  2.2 Botnet的危害  15-16
  2.3 Botnet的分类  16-20
    2.3.1 IRC Botnet  17
    2.3.2 HTTP Botnet  17-18
    2.3.3 P2P Botnet  18-19
    2.3.4 Fast Flux Network  19-20
  2.4 Botnet的发展趋势  20
  2.5 Botnet检测  20-27
    2.5.1 基于网络的Botnet检测方法  20-22
    2.5.2 基于主机的Bot检测方法  22-25
    2.5.3 Botnet检测系统  25-27
  2.6 本章小结  27-28
第3章 API HOOK技术  28-34
  3.1 API HOOK概述  28
  3.2 API HOOK分类  28-33
    3.2.1 基础知识  28-29
    3.2.2 代码注入  29-32
    3.2.3 截获方式  32-33
  3.3 本章小结  33-34
第4章 基于API HOOK技术的Bot检测方法研究  34-70
  4.1 Bot行为分析  34-36
  4.2 BDA算法设计  36-40
  4.3 行为隶属度确定  40-55
    4.3.1 键盘记录行为隶属度  40-44
    4.3.2 接收发送行为隶属度  44-47
    4.3.3 发送数据行为隶属度  47-54
    4.3.4 其他行为隶属度确定  54-55
    4.3.5 注册表和进程操作行为识别  55
  4.4 实验与结论  55-68
    4.4.1 标准模糊集的确定  55-56
    4.4.2 Bot检测实验  56-63
    4.4.3 正常进程检测实验  63-66
    4.4.4 误报与漏报  66
    4.4.5 对比实验  66-68
    4.4.6 结论  68
  4.5 本章小结  68-70
第5章 BotDetector原型系统的设计与实现  70-78
  5.1 需求分析  70
  5.2 总体设计  70-72
  5.3 详细设计与实现  72-77
    5.3.1 预处理模块  72
    5.3.2 API HOOK模块  72-76
    5.3.3 通信行为识别模块  76
    5.3.4 键盘记录器识别模块  76
    5.3.5 关联引擎  76-77
    5.3.6 系统界面设计  77
  5.4 本章小结  77-78
第6章 结论与展望  78-80
  6.1 本文主要工作  78
  6.2 下一步工作展望  78-80
参考文献  80-84
致谢  84

相似论文

  1. 基于流形学习的高维流场数据分类研究,V231.3
  2. 基于仿生模式识别的文本分类技术研究,TP391.1
  3. 基于行为特征的IRC僵尸网络检测方法研究,TP393.08
  4. 羊绒与羊毛纤维鉴别系统的研究,TS101.921
  5. 基于回波包络的超声波入侵探测在军队警戒巡逻中的应用,E919
  6. 空间信息处理中基于模糊技术的数学模型的改进,O159
  7. 基于时空相关性分析的僵尸网络流量的检测研究,TP393.08
  8. 基于广义动态模糊神经网络的肌电信号模式识别系统,TP183
  9. 表格手写内容识别系统的设计与实现,TP391.41
  10. PID参数自整定的研究与应用,TP273
  11. 僵尸控制行为识别及检测方法研究,TP393.08
  12. 基于行为特征的僵尸网络检测方法研究,TP393.08
  13. 动作表面肌电信号的非线性特性研究,TH772
  14. 基于CUDA的视频火灾检测系统,TP391.41
  15. 基于SIFT特征和SVM的场景分类,TP391.41
  16. 无缝钢管超声涡流一体化自动检测系统的研究与开发,TH878.2
  17. 基于DCE-MRI的乳腺病灶良恶性计算机辅助诊断研究,TP391.7
  18. 智能手机二维码识别系统设计与实现,TN929.53
  19. 交通标志实时检测与识别技术研究,TP391.41
  20. 无线电干扰信号发现与识别的研究,TN911.7

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com