恶意代码行为监测分析系统的设计与实现

发布时间：2020-06-28 04:38

【摘要】：随着信息技术的发展和互联网的普及,人们的工作生活和网络越来越不可分割。网络给人们带来了方便,但同时也带来了各种各样的安全问题。其中,具有高危害能力的恶意代码给个人用户、单位组织、国家政府等形成了巨大的安全威胁和经济损失。为此,国内外有大量的研究人员针对恶意代码开展相关研究。本文基于恶意代码动态行为监测技术,对恶意代码进行行为信息捕获、行为语义分析、异常行为告警并通过可视化平台进行信息管理。本文首先阐述了恶意代码分析系统的相关背景意义和发展现状,然后从产品特点和用户特征出发提出系统功能性需求和非功能性需求,并给出系统设计和实现的解决方案。本系统主要由监测子系统和可视化子系统组成。监测子系统使用API Hook,SSDT Hook技术以及基于决策树的分析算法实现了主机进程、文件、网络、注册表操作行为的监控和十种异常行为的识别等功能。可视化子系统基于SpringMVC和MyBatis框架构建Restful风格的Web服务,实现了异常行为的告警功能以及告警信息、主机信息、用户信息、日志信息的管理功能。作者参与完成了以下工作:(1)设计并实现关于文件、进程的操作行为监控模块。(2)参与日志解析和十种异常行为分析模块的设计与实现。(3)参与可视化子系统的业务功能设计与实现。(4)参与数据库和界面交互的设计与实现。测试结果显示,本系统能够直接有效地针对恶意代码的恶意行为进行有效捕获,分析和告警,具备良好的行为监测分析能力和信息管理能力,能够符合用户需求。
【学位授予单位】：北京交通大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08
【图文】：

架构图,微软,架构,操作系统

通过系统调用，被挂入到系统。每当消息发出，在到达窗口之前，钩子可以逡逑先捕获到该消息，此时钩子可以对消息做处理操作，也可以不做操作继续传递该逡逑消息，或者强制结束消息的传递［１６］。图２－１为微软操作系统的架构图，在ｒｉｎｇ３层，逡逑所有的系统调用函数都会指向Ｎｔｄｌｌ．ｄｌｌ这个文件，在ｒｉｎｇＯ层由ＳＳＤＴ表找到内核逡逑层的系统调用函数完成。因此，钩子机制允许应用程序截获处理Ｗｉｎｄｏｗｓ消息或逡逑特定事件。逡逑Ｓｙ邋幻邋ｅｍｓｕｐｐｏａ逦Ｅｎｖｉｒｏｎ邋一逡逑ｐｒｏｃｅｓｓｅｓ逦Ｓｅｒｖｉｃｅ邋ｐｒｏｃｅｓｓｅｓ逦ＡｐｐｌｉｃａｔＪｏｎａ逦ｓｕｂｓｙｓｔｅｍｓ逡逑丨’一－１｝－逦＾ｉＨｌ邋逦逦逡逑ｉ逦ｉ邋“一柳卜伽蘩．ｐ邋ｒ咖１逡逑Ｊ逦二逦邋ｆ逦逦逦邋Ｊ邋Ｗｉｎｄｏｗｓ邋＂邋Ｊ－＊逡逑｜邋Ｗｉｎｔｏｇｏｎ邋｜邋Ｓｐｏｏｔｅｔ逦Ｅｙｐｔｏｔｖｒ邋Ｔ＼邋ｐ0＾ｘ￣］逡逑＿＿Ｌ逦＿＿＿邋Ｈ逦ｊ邋￣ｕｉｉＪ逦ｔ———ｐ逡逑Ｓｅｓｓｉｏｎ逦Ｓｅｒｖｉｃｅｓ．ｅｘｅ逦ａｐｆＡｃａｔｔｎｎ邋｜．丨．丨＿丨＿．＿＿＿．＂．？？？￣￣￣ｊ逡逑Ｍａｎａｇｅｒ邋｜｜逦｜邋Ｗｉｎ３ｇ邋Ｉ逡逑逦逦逡逑ｊ逦ＮｔｄＢ－ｄｌｌ逦＾逦ｊ逡逑Ｓｙｓｔｅｍ逦\b邋｜逡逑ｂｒｅａｄｓ逦逦邋■邋■＿邋■邋ＵｓｅＴｍ0ｄｅ逡逑，，逦＞邋ｒ邋＇邋ｒ逦

通信原理,服务端,客户端

网络上的两个程序互相连接通信并进行数据交换，发起连接请求的的一端称逡逑为Ｓｏｃｋｅｔ客户端，接收连接请求的一端称为Ｓｏｃｋｅｔ服务端。Ｓｏｃｋｅｔ使用ＴＣＰ／ＩＰ逡逑协议，封装Ｓｏｃｋｅｔ编程接口［２（）］。图２－２介绍了邋Ｓｏｃｋｅｔ服务端与客户端的通信过程，逡逑主要分为三个步骤：服务器监听，客户端请求，连接确认。服务器监听是指服务逡逑器通过监控网络状态，等待连接的过程。客户端请求是指客户端通过给出地址和逡逑端口号，向目标服务器发起连接请求的过程。连接确认是指服务器接收连接请求逡逑后，答复客户端，建立新线程，一旦客户端接受信息并确认，连接就建立好了。逡逑．＾邋ＴＴＴ＾逡逑Ｃｌｉｅｎｔ邋Ｓｏｃｋｅｔ邋逦逦邋ｃｏｎｎｅｃｔ邋逦逦邋ｗｒｉｔｅ邋邋邋邋ｒｅａｄ邋邋邋邋ｃｌｏｓｅ逡逑图２－２邋Ｓｏｃｋｅｔ服务端与客户端通信原理图逡逑Ｆｉｇｕｒｅ邋２－２邋Ｓｃｈｅｍａｔｉｃ邋ｏｆ邋ｓｏｃｋｅｔ邋ｃｏｎｎｅｃｔｉｏｎ逡逑２．３逦ＥｌａｓｔｉｃＳｅａｒｃｈ逡逑ＥｌａｓｔｉｃＳｅａｒｃｈ是一款基于Ｌｕｃｅｎｅ的搜索服务器。它是基于分布式的多用户搜逡逑索引擎，该ＥＳ数据库是采用ＲＥＳＴｆｕｌ邋ｗｅｂ标准接口形式提供数据库访问服务［２１］。逡逑ＥＳ采用ｊａｖａ语言开发，是开源文件存储框架。其优点是：功能全面、搜索效率高，逡逑存储量大、性能好。逡逑９逡逑

【参考文献】