学位论文 > 优秀研究生学位论文题录展示
基于主动方式的恶意代码检测技术研究
作 者: 刘浩
导 师: 李斌
学 校: 哈尔滨工业大学
专 业: 计算机科学与技术
关键词: 主动检测 蜜罐 恶意代码 网络安全
分类号: TP393.08
类 型: 硕士论文
年 份: 2008年
下 载: 303次
引 用: 2次
阅 读: 论文下载
内容摘要
随着互联网的广泛应用,网络安全问题日益严峻,恶意代码已成为互联网最严重的安全威胁之一。当前恶意代码传播与攻击手段呈现复杂化、多样化的趋势。传播方面出现了新的传播方式,原有的木马等恶意代码改变了传播方式,开始大量利用广泛应用的客户端如浏览器等进行传播,甚至出现了P2P下载传播和Google Hacking这类利用搜索引擎的传播方式。随之而来出现了大量利用客户端软件漏洞进行攻击的新手段,如利用浏览器和Email客户端攻击。目前这类通过客户端应用进行传播的恶意代码已成为恶意代码主流,其中出现了不具备主动传播能力的恶意代码如网页夹带的脚本病毒等。蜜罐作为一种新兴的攻击诱骗技术,已在互联网安全威胁检测方向上得到了较为广泛的应用。但蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限。传统恶意代码检测系统如Nepenthes,单纯使用蜜罐技术吸引恶意代码,被动等待其入侵。对于借助于客户端应用漏洞或被动触发方式感染目标系统的恶意代码,传统检测系统无法有效地进行检测预警。由于传统的被动检测技术逐渐无法适应网络安全需要,恶意代码检测由被动转向主动。本文对恶意代码的传播原理和运行特性进行了深入分析,并在此基础上提出了基于主动检测的恶意代码检测模型。该模型与传统恶意代码检测模型根本区别在于添加了对夹带恶意代码的可疑目标进行主动发现与主动访问,主动诱使恶意代码攻击,进而实现检测捕获。本文对基于IE浏览器传播的恶意代码的传播过程和运行模式进行了深入分析,提出以IE浏览器为客户端软件对可疑数据源进行主动访问并采用基于监测点集合的行为监测方式进行监测。以上述理论为基础,结合爬虫与高交互式蜜罐,本文设计实现了面向IE浏览器的恶意代码检测系统Decoy。除具有传统检测系统的检测发现能力外,Decoy还通过主动访问夹带恶意代码的目标,触发恶意代码,诱导恶意代码实施攻击,利用行为特征监控进行实时检测,从而使恶意代码检测更具主动性、全面性和高效性。与传统检测系统一般需要部署在公网相比,Decoy仅需部署于局域网即可获得较高的捕获效率,具有较强的可用性。各项实验结果满足设计要求,实验数据验证了理论分析的正确性和实用性。最后本文对研究取得的成绩和存在的问题进行了分析和总结,针对一些未能实现的问题,提出了解决思路,提供了可供深入研究的几个方向。
|
全文目录
摘要 4-5 Abstract 5-9 第1章 绪论 9-16 1.1 课题背景 9-10 1.2 国内外研究概况 10-14 1.3 本文主要研究内容 14-15 1.4 本文的组织 15-16 第2章 恶意代码检测相关技术研究 16-31 2.1 恶意代码概述 16-23 2.1.1 恶意代码定义 16 2.1.2 恶意代码类型 16-19 2.1.3 恶意代码行为模式分析 19-20 2.1.4 恶意代码传播机制 20-23 2.2 恶意代码检测技术 23-25 2.3 基于行为监测的恶意代码检测技术 25-30 2.3.1 基于行为监测的恶意代码检测技术基本思想和体系框架 25-26 2.3.2 基于语义网络表示的检测方法 26-27 2.3.3 基于API 序列分析的未知恶意代码检测方法 27-29 2.3.4 蜜罐技术概述 29-30 2.4 本章小结 30-31 第3章 恶意代码主动检测模型及关键机制 31-38 3.1 主动检测相关技术 31-34 3.1.1 Nepenthes 恶意代码检测系统 31-32 3.1.2 客户端蜜罐技术 32-33 3.1.3 主动引擎 33-34 3.2 主动检测模型 34-35 3.3 主动检测模型关键机制 35-36 3.3.1 数据源的来源选择和集合扩充机制 35 3.3.2 监测点集合确定机制 35-36 3.3.3 恶意代码行为检测规则 36 3.4 本章小结 36-38 第4章 面向IE 的恶意代码主动检测系统设计实现 38-62 4.1 系统总体设计 38-41 4.1.1 设计原理 38-39 4.1.2 Decoy 主动访问引擎 39-40 4.1.3 IE 主动访问 40-41 4.1.4 监测和恶意代码样本提取 41 4.2 系统功能模块实现 41-56 4.2.1 爬虫的设计 42-44 4.2.2 可疑代码扫描及特征检测 44-46 4.2.3 主动访问模块 46-47 4.2.4 监测模块 47-48 4.2.5 文件系统监测模块 48-50 4.2.6 通信检测模块 50-52 4.2.7 进程检测模块 52-53 4.2.8 注册表检测模块 53-54 4.2.9 系统行为过滤和系统恢复 54-56 4.3 实验设计与结果分析 56-60 4.3.1 测试环境 56 4.3.2 实验过程 56-58 4.3.3 实验结果比较 58-59 4.3.4 实验结果分析 59-60 4.4 本章小结 60-62 结论 62-64 参考文献 64-67 攻读学位期间发表的学术论文 67-69 致谢 69
|
相似论文
- 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
- 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
- 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
- 基于比对技术的非法网站探测系统的实现与研究,TP393.08
- 基于区域的无线传感器网络密钥管理方案研究,TP212.9
- 我国保险公司保险网络营销研究,F724.6
- 基于VoIP的DDoS攻击源追踪技术的研究,TP393.08
- 基于自相似分析的流媒体DDoS攻击检测方法研究,TP393.08
- 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
- 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
- 无线传感器网络安全问题的研究,TN915.08
- 光盘授权播放系统安全通信研究与设计,TP309
- 蜜罐文件系统的智能内核级中间件研究,TP393.08
- 基于无线传感器网络的智能家居安全监测系统的研究与应用,TP273.5
- 基于行为特征的僵尸网络检测方法研究,TP393.08
- 浏览器安全问题的研究与解决方案,TP393.092
- 基于混合式蜜罐技术的蠕虫对抗模型研究,TP393.08
- 认知无线电网络安全问题的研究,TN915.08
- 基于PKI的网上购物系统的设计与实现,TP393.09
- 郑州联通办公自动化网络安全防护策略探讨,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|