基于沙箱的主動防御系統(tǒng).ppt_第1頁
基于沙箱的主動防御系統(tǒng).ppt_第2頁
基于沙箱的主動防御系統(tǒng).ppt_第3頁
基于沙箱的主動防御系統(tǒng).ppt_第4頁
基于沙箱的主動防御系統(tǒng).ppt_第5頁
已閱讀5頁,還剩13頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

基于沙箱的主動防御系統(tǒng),指導老師:周學海 學生 :李 奇,報告內(nèi)容,選題依據(jù) 研究內(nèi)容 研究方法和技術(shù)路線 可行性分析 預(yù)期成果 創(chuàng)新之處 工作進度安排,研究背景主動防御,定義 結(jié)構(gòu),研究背景沙箱技術(shù),定義 分類 純用戶態(tài) 純內(nèi)核態(tài) 混合型 過濾型 委托型,相關(guān)研究概況截獲系統(tǒng)調(diào)用,對象 API INT 2E 或SYSENTER 例子 瑞星反病毒系統(tǒng)掛接了ntoskrnl.exe、ndis.sys等系統(tǒng)關(guān)鍵模塊里的API 方法 修改PE文件的IAT表 修改SSDT表中系統(tǒng)調(diào)用函數(shù)入口點 直接修改二進制代碼中的內(nèi)容,相關(guān)研究概況布控點設(shè)置,相關(guān)研究概況分析系統(tǒng)調(diào)用序列,短序列時序分析方法 變長時序分析方法 隱馬爾可夫模型 基于神經(jīng)網(wǎng)絡(luò)的機器學習方法 分類分析/數(shù)據(jù)挖掘方法 基于關(guān)聯(lián)規(guī)則分析方法 系統(tǒng)調(diào)用序列和參數(shù)信息結(jié)合的分析方法 基于粗糙集理論分析方法,相關(guān)研究概況進程遷移技術(shù),進程簡介 進程的執(zhí)行環(huán)境 進程遷移的步驟 主機調(diào)度目標進程狀態(tài)收集狀態(tài)保存狀態(tài)遷移狀態(tài)恢復恢復斷點 進程遷移算法 貪婪拷貝算法 惰性拷貝算法 預(yù)拷貝算法 基于檢查點的遷移算法,研究內(nèi)容,研究系統(tǒng)中布控點的選擇和設(shè)置 主動防御系統(tǒng)的性能嚴重依賴于底層布控的粒度,研究系統(tǒng)中布控點的選擇和設(shè)置,增加有效布控點能提高主動防御系統(tǒng)的性能。 沙盤與主機操作系統(tǒng)間的進程遷移技術(shù) 沙盤與主機操作系統(tǒng)間的進程遷移不需要考慮進程通信問題,但類似與虛擬機進程遷移,存在內(nèi)存遷移、網(wǎng)絡(luò)連接保持、用戶數(shù)據(jù)遷移和沙盤本身效率等問題。 進程運行結(jié)果遷移回主機操作系統(tǒng) 。,研究基于系統(tǒng)調(diào)用序列分析的惡意行為辨識方法 現(xiàn)階段主動防御系統(tǒng)中規(guī)則庫大多根據(jù)系統(tǒng)調(diào)用序列進行分析,將進程運行結(jié)果加入到系統(tǒng)調(diào)用序列中,可以降低主動防御系統(tǒng)的誤報率。但是,由于目前的防御系統(tǒng)中規(guī)則庫生成算法采用的對象只限于系統(tǒng)調(diào)用序列,在加入進程運行結(jié)果作為分析對象后,并不清楚會有怎樣的效果 。,研究方法和技術(shù)路線,研究系統(tǒng)中布控點的選擇和設(shè)置 調(diào)研現(xiàn)有的主動防御系統(tǒng)中布控點的選擇和設(shè)置方法 分析windows系統(tǒng)調(diào)用的流程,歸納出系統(tǒng)調(diào)用所使用到的敏感區(qū)域(比如SSDT表) 對現(xiàn)有的rootkit技術(shù)進行分析,尤其是繞過主動防御的rootkit技術(shù)進行分析 對剩余的API和系統(tǒng)調(diào)用進行功能分析 ,尤其關(guān)注能獲得ring0級特權(quán)的API和系統(tǒng)調(diào)用,沙盤與主機操作系統(tǒng)間的進程遷移技術(shù) 用DEV(Device Exclusion Vector)技術(shù)保護沙盤內(nèi)存區(qū)域的 采用系統(tǒng)調(diào)用重定向的方法,達到內(nèi)存遷移的一致性 和保持網(wǎng)絡(luò)連接 通過實驗分析出保持用戶數(shù)據(jù)遷移一致性所需要的最小數(shù)據(jù)集合 ,結(jié)合貪婪拷貝和惰性拷貝算法,得出一種能夠滿足用戶數(shù)據(jù)一致性的高效的遷移算法,研究基于系統(tǒng)調(diào)用序列分析的惡意行為辨識方法 實現(xiàn)現(xiàn)階段已有的系統(tǒng)調(diào)用序列分析方法 將被監(jiān)控進程的運行結(jié)果加入到系統(tǒng)調(diào)用序列中,作為分析要素 從規(guī)則生成時間、誤報率、識別率等方面進行量化評估,預(yù)期研究成果,研究windows安全體系,通過對系統(tǒng)調(diào)用功能和API的分析,得到更全面的布控點方案。 研究沙盤與主機操作系統(tǒng)間進程遷移技術(shù),使進程可以在沙盤和主機操作系統(tǒng)間遷移。 將進程運行的中間結(jié)果和最終結(jié)果加入到系統(tǒng)調(diào)用序列作為分析對象,對比現(xiàn)有的系統(tǒng)調(diào)用序列分析方法,得到較為有效的算法。 發(fā)表論文1-2篇,完成相關(guān)畢業(yè)論文,創(chuàng)新之處,將沙盤技術(shù)應(yīng)用于主動防御系統(tǒng)中,使主動防御系統(tǒng)監(jiān)控的進程運行受到沙盤限制,進一步保護了主機操作系統(tǒng)。 將進程遷移技術(shù)引入沙盤,使沙盤可以隨時從主機操作系統(tǒng)中接管進程,增加了系統(tǒng)的安全性和沙盤的應(yīng)用范圍。 將進程運行結(jié)果作為因素加入到進程行為序列分析中,使主動防御的誤報率降低。,工作安排,2007.92008.1:相關(guān)文獻資料整理,進行針對性調(diào)研; 2008.2200

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論