论文检索
论文发表
当前位置:主页 > 管理论文 > 移动网络论文 >

Rootkit的改进型实现与检测技术研究

发布时间:2017-05-10 12:04

  本文关键词:Rootkit的改进型实现与检测技术研究,由笔耕文化传播整理发布。


【摘要】:随着计算机互联网应用技术的发展,基于互联网商业模式的普及,导致了计算机病毒、木马等恶意程序的爆炸式的增长,严重威胁了计算机网络的安全。由于微软Windows系统的广泛使用率,近年来针对Windows平台的恶意软件与木马病毒得到了广泛的关注与研究。作为以能够持久可靠地、无法检测地存在计算机为目的的Rootkit技术成为了主机检测技术研究的热点。本文首先介绍分析了Windows系统中与Rootkit有关的知识,包括系统Ring0级和Ring3级介绍,系统中内核内存的布局和内存的保护、常用突破写保护内存的方法阐述了内核驱动模式及PE文件格式。总结了Rootkit常用的技术原理。在深入理解Rootkit相关技术原理的基础之上,提出了针对传统SSDT挂钩的改进型方案。并针对目前主流杀毒软件对KiFastCallEntry挂钩提出了躲避方案,同时给出了具体的实现原理、设计思路以及实验测试。针对传统的Rootkit检测技术的不足提出了改进,设计实现了Rootkit检测框架模型,对基于传统系统调用的异常检测模型:短序列(N-gram)模型,有穷自动机模型,基于频率的KNN(K-Nearest Neighbor)模型进行了对比分析。在原有的系统调用序列算法的基础之上,提出了利用Rootkit的典型特征行为来表征程序行为,增加了系统调用参数因素对系统调用权重的影响,通过层次分析法中对比矩阵来精确量化个系统调用的权重,最后通过模糊识别的方法来对待检测程序进行分类,该改进减少了传统异常检测模型的时间开销,进一步提升了检测模型的精确度。
【关键词】:Rootkit 技术 系统调用 异常检测 模糊识别
【学位授予单位】:江西师范大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08;TP316.7
【目录】:
  • 摘要3-4
  • Abstract4-7
  • 第一章 绪论7-10
  • 1.1 研究背景及意义7
  • 1.2 国内外研究现状7-8
  • 1.3 本文研究内容8-9
  • 1.4 论文组织结构9-10
  • 第二章 Rootkit相关的操作系统原理10-19
  • 2.1 环0结构10-11
  • 2.2 系统内存空间11-14
  • 2.2.1 内存空间布局11-12
  • 2.2.2 内存保护12-14
  • 2.3 内核模式驱动程序14-16
  • 2.3.1 内核模式驱动程序介绍14
  • 2.3.2 内核模式驱动程序与用户模式通信14-16
  • 2.4 PE文件介绍16-18
  • 2.5 本章小结18-19
  • 第三章 Windows Rootkit隐藏与检测技术19-31
  • 3.1 执行路径挂钩19-24
  • 3.1.1 用户空间挂钩20-21
  • 3.1.2 内核空间钩子21-24
  • 3.2 更改内核对象24-26
  • 3.3 内核模式驱动简介26-27
  • 3.4 常用Rootkit检测方法分析27-30
  • 3.4.1 交叉视图检测27
  • 3.4.2 完整性校验27-28
  • 3.4.3 跳转指令检测28
  • 3.4.4 基于系统调用分析的检测方法28-30
  • 3.5 本章小结30-31
  • 第四章 改进型Rootkit技术研究与设计31-40
  • 4.1 SSDT挂钩的改进31-35
  • 4.1.1 传统SSDT挂钩与检测方法31-33
  • 4.1.2 SSDT挂钩的改进33-35
  • 4.2 改进型SSDT挂钩分析35
  • 4.3 KiFastCallEntry挂钩的改进35-39
  • 4.3.1 改进型KiFastCallEntry挂钩的原理35-37
  • 4.3.2 改进型KiFastCallEntry挂钩的实现关键点37-39
  • 4.4 KiFastCallEntry挂钩改进的分析39
  • 4.5 本章小结39-40
  • 第五章 Rootkit检测框架的设计与建立40-52
  • 5.1 IA32_SYSENTER_EIP、0x2E挂钩检测42-44
  • 5.2 SSDT挂钩检测44-45
  • 5.3 进程隐藏的检测45-48
  • 5.4 基于模糊识别的异常检测模型的建立48
  • 5.5 关键模块和关键技术48-51
  • 5.5.1 特征提取48-49
  • 5.5.2 特征权重的获取49-51
  • 5.5.3 基于模糊识别的异常行为检测51
  • 5.6 本章小结51-52
  • 第六章 实验结果及分析52-58
  • 6.1 改进型SSDT挂钩实验52-54
  • 6.2 模糊识别检测模型实验54-57
  • 6.2.0 实验测试环境54
  • 6.2.1 实验样本与流程54
  • 6.2.2 检测结果与性能分析54-57
  • 6.3 本章小结57-58
  • 第七章 总结与展望58-60
  • 7.1 总结58
  • 7.2 展望58-60
  • 致谢60-61
  • 参考文献61-63

【参考文献】

中国期刊全文数据库 前3条

1 杨宏宇;朱丹;谢丰;谢丽霞;;入侵异常检测研究综述[J];电子科技大学学报;2009年05期

2 徐思明;薛质;;Windows进程信息注入与API挂钩技术研究[J];信息安全与通信保密;2010年10期

3 张亚航;刘波;韩啸;姜电波;靳远游;;Windows系统下多种Rootkit隐藏方式分析以及探测方法研究[J];信息网络安全;2009年05期

中国硕士学位论文全文数据库 前1条

1 彭荣辉;基于过滤驱动的安全文件系统的设计与实现[D];北京交通大学;2011年


  本文关键词:Rootkit的改进型实现与检测技术研究,,由笔耕文化传播整理发布。



本文编号:354690

资料下载
论文发表

本文链接:https://www.wllwen.com/guanlilunwen/ydhl/354690.html

上一篇:IaaS云平台运营管理子系统的设计与实现  
下一篇:互联网金融对传统商业银行业务影响分析
论文发表
最近更新
教材专著
热点文章

Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户adcb4***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com