一、基于Windows的文件完整性检测系统的设计和实现(论文文献综述)
邓师放[1](2020)在《硬盘木马检测技术的研究》文中指出硬盘作为最主要且最常见的存储设备,保存着计算机系统中绝大部分文件,是木马攻击和感染的主要目标。硬盘木马指的是通过感染硬盘来隐藏自身,驻留在计算机中,并执行恶意功能的木马,这种木马具有极高的隐蔽性和危害性。本论文将木马对于硬盘的感染位置和方式的不同,将硬盘木马分为Bootkit木马和硬盘固件木马。Bootkit木马是当前主流木马的一种,Bootkit技术和其检测技术不断地对抗升级,促使Bootkit木马迅速发展。硬盘固件木马难度大,且位于用户无法访问的区域内,所以对于固件木马的研究较少,但硬盘固件木马是杀毒软件的一个盲区,也是木马发展的一个方向。本文针对硬盘木马难以检测的问题,分析了硬盘木马的实现方式,建立了硬盘木马检测模型。在硬盘木马检测模型中,本论文将硬盘木马检测分为对Bootkit木马的检测和对硬盘固件的检测,其中Bootkit木马检测能够检测出硬盘引导区的感染情况以及系统的感染情况,硬盘固件检测能够检测出硬盘固件是否被篡改和硬盘是否挂载有小型系统。并且在硬盘木马检测模型中,本文提出了基于行为的Bootkit木马检测,基于可信引导的硬盘固件检测以及基于SMART的硬盘挂载系统检测的方法。接下来本文基于硬盘木马检测模型,设计并实现了硬盘木马检测系统,并详细介绍了硬盘木马检测系统中的各个模块。在实现的过程中,本文突破了硬盘固件区访问技术,实现了通过数据线对硬盘固件的直接提取。接下来本文设计实验对硬盘木马检测系统进行测试,并对结果进行分析,证明了硬盘木马检测模型的有效性。最后,本文又对硬盘木马检测系统和杀毒软件以及硬盘工具进行功能对比,证明硬盘木马检测模型对于硬盘木马检测的全面性。
詹东阳[2](2019)在《面向可控云的虚拟机域外安全监测与管理技术研究》文中研究表明目前,云计算已成为最重要的计算基础设施之一。在云计算被广泛应用的同时,也带来了安全问题。云计算引入了大量不可信云租户和网络访问用户,使云计算中虚拟机受到安全威胁。被攻破的或恶意的虚拟机可能提供恶意服务或继续攻击云计算中的其他虚拟机,使云计算的安全变得不可控。为使云服务商对云租户或访问用户的行为具有识别、取证、控制的能力,实现可控云,虚拟机域外监控技术被广泛应用。相比于域内监控,域外监控由于监控程序运行于具有更高权限的虚拟机管理层或安全虚拟机中,具有更好的安全性和透明性。然而,域外监控会干扰目标虚拟机的执行,对虚拟机引入较高的监控负载;而且,监控程序需要能够自动化解决语义鸿沟问题。运行于虚拟机管理层的监控程序仅能访问到虚拟机的底层运行信息(二进制内存、寄存器等),而监控程序需要基于高级语义才能实现监控,这个语义差距被称之为语义鸿沟问题。针对这些问题,本文致力于研究语义处理能力强、高性能、低负载的虚拟机监控技术。首先,针对虚拟机中文件数量众多,进行域外文件检测时需要检测的文件量大、检测时间长的问题,研究高性能的虚拟机域外文件检测技术。通过分析两次文件检测之间虚拟机对文件的修改,获取脏文件信息,进而将每次轮询检测的范围从全部文件缩小为脏文件,减少扫描的文件数量和扫描时间。针对单镜像虚拟机,研究基于文件驱动的脏文件获取技术;针对多镜像虚拟机,研究基于增量镜像的脏文件获取技术。在获取脏文件之后,每次轮询仅需要扫描分析脏文件,实现高性能的域外文件轮询式检测。其次,针对实时域外监控虚拟机中关键文件会对虚拟机引入较高负载的问题,研究基于目标的虚拟机关键文件域外实时监控技术。由于虚拟机中文件操作非常频繁,基于操作的文件监控,即通过监听和分析虚拟机中文件操作来监控虚拟机中文件,会严重干扰虚拟机的执行,引入较高监控负载。与基于操作的实时监控不同,基于目标的监控仅监控与目标文件相关的文件访问,使监控负载仅与对目标文件的访问频次有关。由于对关键文件的访问频次在整个虚拟机文件系统中占比很小,因此,基于目标的文件监控的负载更低。为了进一步降低监控负载,研究虚拟机内核结构体迁移技术,降低了系统的误触发率。然后,针对域外动态跟踪和分析虚拟机控制流会引入较高负载的问题,研究页面级虚拟机内核控制流完整性域外检测技术。通过将跟踪和分析的目标从虚拟机中的指令和分支跳转提升为内存页,降低监听过程中事件的触发量,从而降低对虚拟机引入的监控负载。面向页面级执行信息,提出两种模型对内核控制流进行建模和分析,保证了监控程序的检测能力。在学习阶段,建立内核的安全控制流模型;在监控阶段,将实时采集到的数据与安全模型进行比对,从而发现虚拟机内核控制流异常。最后,针对域外细粒度管理虚拟机面临的语义鸿沟问题和安全性挑战,研究安全的虚拟机域外细粒度自动化管理技术。由于虚拟机操作系统中关键操作都是通过系统调用完成的,通过向目标虚拟机中注入系统调用可以利用虚拟机自动化地获取其运行信息和干预其执行。当在域外对虚拟机细粒度管理时,首先根据管理操作的类型选取和准备待注入的系统调用,之后在虚拟机中选取一个傀儡进程,最后通过傀儡进程注入系统调用。由于注入调用运行于目标虚拟机中,一旦目标虚拟机内核被篡改,注入调用的执行将受到影响。针对这类安全性问题,本文研究虚拟机系统调用执行保护技术,保证了注入调用的安全性。
孙飞[3](2020)在《基于内核对象管理器的钩子型Rootkit检测技术研究》文中提出如今,不管是在个人计算机还是服务器上,Windows操作系统已经无处不在。与Windows操作系统如影随形的是各种恶意代码,这其中Rootkit以隐遁攻击严重危害到系统和用户数据安全。Rootkit可以通过隐藏自身在系统中的信息来持久的生存于受害系统中,也使得它可以躲避安全防护软件的查杀。Rootkit要隐藏的首要目标是自身进程,通过检测隐藏进程就能检测到Rootkit。但已有的检测隐藏进程的方法要么存在被Rootkit规避的途径,要么检测耗时过长致检测效率低。本文在对各种Rootkit案例进行总结后,给出了Rootkit攻击的形式化表示和使攻击成功的根本原因。然后提出多进程视图对比检测模型,并定义了可信进程视图必须满足的两个约束。基于该检测模型,提出两种新的在内核层获取进程视图的方法,以构建虚拟进程视图和物理进程视图,并与用户层进程视图进行差异分析来检测隐藏进程。虚拟进程视图依赖的是由对象管理器统一创建和维护的分发器对象。对象管理器为每个分发器对象分配内存时都带有额外的管理结构,其中保存着Pool Tag。在分发器对象的整个生命周期内,Pool Tag都不会改变。使用Pool Tag搜索法的六条搜索规则在系统非换页内存池的已分配页面中搜索分发器对象。然后从这些分发器对象与进程结构的引用关系中,找到使用它们的进程,从而构建虚拟进程视图。为了对抗采用内存视图伪装技术的Rootkit对虚拟进程视图的篡改,还通过在物理内存中搜索页目录页面来构建物理进程视图。页目录页面是操作系统在创建进程的时候为进程分配的第一个物理页面,直到进程结束才会被回收。每个进程都必然有且仅有一个页目录页面,并且对页目录页面的篡改将导致系统崩溃蓝屏,因此通过页目录页面构建的物理进程视图是可信进程视图。在物理内存中搜索到页目录页面后,再通过页目录页面找到进程的超空间页面和工作集页面,然后搜索到进程环境块所在页面,最后恢复进程语义信息。最后本文实现了一个Rootkit检测系统。并通过对Pool Tag、页目录页面和PEB进行防篡改实验,验证了物理进程视图可以抵御Rootkit的规避攻击。最后通过进程视图生成时间实验和Rootkit检测实验,验证了本文检测系统可以检测到常见的Rootkit,有着很高的检测成功率和效率。
蒋传勇[4](2016)在《基于QEMU的恶意程序行为检测研究》文中研究指明互联网技术给人们的生活各个方面提供巨大便利,但另一方面也为恶意程序的产生和传播提供了方便,给信息系统造成严重的安全威胁。随着计算机系统虚拟化技术的发展,虚拟机(Virtual Machine,VM)的应用领域愈加广泛,利用虚拟机对恶意程序的检测技术已经成为当前的研究热点之一。本文基于虚拟机监视器研究程序行为的分析及检测技术。通过虚拟机监视器,获取程序运行时的虚拟机系统底层信息,从计算机系统资源域的角度综合分析程序行为,以此为基础检测恶意程序行为。本文首先分析QEMU及其相关技术,以及程序行为检测方法。其次本文研究基于QEMU的程序行为检测模型:基于QEMU对程序运行时的系统内存、内核基本事件、磁盘文件和网络信息等数据信息进行捕获并重构;采用C4.5算法建立决策树的方式对捕获及重构到的数据分析,以此判定程序是否存在恶意行为。基于该模型,本文最后设计与实现出对应的程序行为检测系统,并将其用于实际的程序行为检测。检测结果表明所提出的检测模型以及相应的检测系统能准确、有效地检测到程序中的恶意行为。
梁红伟[5](2012)在《软件完整性自动检测系统的设计与实现》文中研究指明随着商业软件功能的日趋强大,性能的日益提高,其规模也越来越大,结构和组成越来越复杂。在商业软件发布时,如果不进行完整性检测,将会带来诸如动态链接库依赖关系不正确、二进制文件缺失以及软件基本功能表现不正常等问题。软件完整性检测涉及元素多、检测面广、工作量大,如采用手工检测,则耗时费力且检测精确度低,因此研制一套自动化程度高,集成性好的软件系统是十分必要的。本文在软件完整性检测需求分析的基础上,依据相关软件技术知识并结合公司自动化测试框架Testgrid,设计并实现了软件完整性自动检测系统。该系统采用虚拟机技术和XML转化存储技术,解决了完整性检测过程中资源申请周期长、资源量耗费大、手动测试精确度低等问题;采用Jacob技术,首次将GUI测试功能模块整合到Testgrid框架中,解决了GUI测试不能与原有命令行测试兼容的问题;本文所实现的系统可自动检测对象软件从安装到产品完整性检测的全过程,并且能够动态调整物理资源,同时还能够将检测结果以邮件形式自动发送给测试工程师。测试和实际应用表明,本文所实现的系统具有运行稳定、检测精度高、集成性好、容错性能力强等特点,并且能够节约公司的大量人力资源,同时更大程度上确保了发布产品的质量,避免了人为测试产生的误差。本文下一步的研究方向是如何让系统更好地跨平台运行,并且如何满足不同类型的软件完整性检测需求,以应对平台多样化和产品多样化的挑战。
张德成[6](2012)在《进程隐藏技术及其在恶意代码检测中的应用》文中研究说明随着互联网的发展,网络安全备受人们的关注。现在的病毒木马不再单纯的以炫耀技术,破坏用户系统为目的,更多的是潜行在系统中收集数据、窃取用户私密信息以牟取钱财。为了能够长期的潜行在系统中不被用户和杀毒软件发现,后门程序通常采用了隐藏技术,其中隐藏自身进程是其最基本的功能之一。本文首先回顾了Rootkit的发展历史,并深入探讨了Rootkit隐藏进程的原理,即挂钩一些关键的API函数和系统服务函数、修改系统内存和内核对象等,接着详细分析了用户模式下的IAT HOOK、Inline HOOK以及内核模式下的IDT HOOK、SSDTHOOK、直接内核对象操作等技术。最后对几个经典的Rootkit检测工具进行了分析。但是,这些工具针对性很强只能检测出某些特定Rootkit,无法检测到采用了其他技术的Rootkit,而且还容易受到恶意代码的破坏以达到篡改检测结果欺骗用户的不法目的。本文在分析了Rootkit隐藏进程所利用的各种技术的基础上,设计了一个具有自身完整性保护功能的多层次多方法隐藏进程检测系统模型。自我完整性保护用来保护检测系统不被具有反检测功能的Rootkit所破坏,保证了检测结果的正确性。在检测隐藏进程时,检测系统分别从用户层和内核层两个层次对Rootkit可能修改的地方进行检测,并且在每个层面都采用了多种检测方法,在用户层实现了直接内核函数调用检测方法;在内核层实现了各种钩子检测方法、基于内核对象的检测方法以及基于线程调度的检测方法,恶意代码将会很难应对这么多的检测方法,从而实现了设计目标的通用性和有效性。另外,检测系统从内核层对检测到的隐藏进程进行处理,弥补了部分检测工具只能检测不能处理的不足。最后,用VS2005实现了系统模型并通过实验对系统进行了全方位测试,实验结果表明该系统达到了预期目标。
杨婷[7](2010)在《基于行为分析的恶意代码检测技术研究与实现》文中研究说明由于病毒、蠕虫、僵尸网络等恶意代码的出现和发展,信息安全受到了巨大的威胁。随之出现的恶意代码分析检测技术,包括特征码扫描等,能在一定程度上进行分析检测工作,但仍无法避免各自的缺陷。于是,迫切需要一种恶意代码的分析检测手段对恶意代码进行详尽的分析。本文研究恶意代码种类及特征,充分讨论各种分析检测方法的缺陷和不足。在此基础上,提出一种基于行为分析的恶意代码检测方法。这种方法通过监控系统调用以及重要内核数据来获取一段可执行代码的行为。通过对行为的分析检测其是否是恶意代码。这种技术方法能够有效检测已知的、未知的恶意代码;有效应对各种变异或加壳的恶意代码;有效检测恶意代码的隐藏行为;可以自动分析恶意代码行为;生成详细的行为分析报表,作为判断以及进行进一步分析的依据。本文研究恶意代码的用户态行为分析、内核态行为分析等技术,完成了基于行为分析的恶意代码检测系统的设计与实现。基于行为分析的恶意代码检测系统包括用户态行为分析模块、中断处理模块、内核态隐藏行为分析模块、通信模块、用户界面五个模块。用户态行为分析模块以监控系统调用为技术核心完成二进制可执行代码的用户态行为分析,内核态隐藏行为分析通过监控SSDT等重要内核数据完成二进制可执行代码的内核态行为的分析。中断处理模块、通信模块为这两个模块分别提供下层的支持和上层的交互接口。中断处理模块完成设置隐蔽断点的功能,从而为用户态行为分析模块提供系统调用断点处的上下文信息。用户界面生成分析日志,并返回所有的分析检测信息呈现给用户。在完成了基于行为分析的恶意代码检测系统的设计开发后,使用不同类型的二进制可执行代码进行测试。测试结果表明,基于行为分析的恶意代码检测系统能获得多个样本的大量行为信息,包括具有典型恶意代码特征的隐藏行为。该系统生成样本完整、全面的分析结果,能够根据分析结果多个维度的行为特征判断样本是否是恶意代码,提高了准确性,并克服了单一特征码扫描、完整性检测无法检测未知恶意代码的缺陷。
王鼎[8](2010)在《高隐藏性木马的深度检测技术实现研究》文中认为随着网络的普及及信息化步伐的加快,计算机网络已经成为社会生活的重要组成部分。但同时网络安全问题也变得越来越严峻,恶意的攻击给互联网的发展造成重大威胁。而当前对此类攻击的检测和遏制手段有限,难以有效阻止层出不穷的攻击,尤其是面对受过专业训练,有组织有预谋的攻击者、效率低下的安全防御设备及网民滞后的安全意识,使得形势更为严峻。恶意代码的检测技术主要分为基于主机的和基于网络节点的检测,本文主要研究针对基于主机的高隐藏性木马的检测技术。传统的对抗恶意代码的方法主要分为特征码匹配、主机行为监控及启发式分析等,这些方法针对普通的恶意代码是有效的,能从一定程度上阻止恶意代码的传播,但对于高隐藏类木马则无能为力。本文在深入分析高隐藏性木马工作原理的基础上,通过系统完整性校验、隐藏资源检测等方法,评估操作系统是否被感染了高隐藏类木马程序。在评估过程中,综合采用了交叉视图检测、关联分析检测等思想,深入发掘Windows操作系统底层机制,吸取传统检测方法的优点,构建完整全面的检测方案。同时完成检测系统的系统设计、编码及测试等工作,在实践中验证检测方案。本文综述了恶意代码相关原理、关键技术和检测方法,以高隐藏性木马的检测为核心,取得了以下三个方面的成果:1.研究并评估传统木马技术及相应的检测技术。评估木马等恶意代码的技术要点、危害性及发展趋势,并展开对相应的检测技术的分析,给出了检测技术的缺陷分析及改进策略。对于系统的分析和对抗恶意代码具有重要意义。2.研究并评估高隐藏性木马的运行原理。首先分析了木马的运行机制、生命周期等要素,其次针对高隐藏类木马,重点研究木马的隐藏技术原理及对系统资源的干涉机制,对后续的检测作了铺垫。3.高隐藏性的木马的检测技术。在分析主流检测技术的基础上,综合采用交叉检测、关联检测及系统完整性分析等策略,研究并实现一套有效检测隐藏性木马的体系。实验结果表明相对于传统的检测软件,具有更高的检测率,较低的误报率,实验同时给出了它们的定量分析。
周仕荣[9](2010)在《基于Windows操作系统的Rootkit检测系统研究》文中指出Rootkit是能持久的存在于计算机上而难以被检测的一组程序或代码,是恶意软件用来隐藏自己的踪迹和保留计算机超级用户权限的工具。Rootkit的严重危害性表现在它拥有目标计算机的超级用户权限,可以在用户不知道的情况下对目标计算机进行随心所欲的操控。不断发展的Rootkit技术甚至能攻破Rootkit检测软件,并通过修改Rootkit检测软件的执行逻辑使Rootkit检测软件失效。本文首先对Rootkit采用的技术和发展趋势进行了分析,对Rootkit检测工具的现状进行了总结;对与Rootkit紧密相关的windows操作系统进行了研究,包括访问控制机制、内存分页和寻址方式、进程和线程、可加载内核模块(驱动)、系统服务调度表、中断描述符表、PE文件的结构和加载方式、操作系统信息查询函数等。在对Rootkit新技术、Rootkit检测工具缺陷性和windows操作系统脆弱性三个方面进行分析的基础上,设计了一个自检子系统和Rootkit检测子系统相互独立的Rootkit检测系统。本文对Rootkit检测子系统进行了详细设计。对文件完整性检测,提出基于待检测模块可重复随机组合求取MD5信息摘要的检测算法和具体的文件完整性检测流程;通过对钩子函数采用的不同技术进行分析后,提出基于函数地址可接受范围和函数起始64字节一致性检测钩子;通过对注册表文件和注册表查询的分析,提出基于HIVE文件的隐藏注册表检测;通过对Rootkit隐藏文件技术和磁盘文件存储方式的研究,提出基于直接磁盘文件读取检测隐藏文件;通过对Rootkit的系统消息钩子和直接内核对象操作技术研究,提出基于内核对象句柄和线程调度队列检测隐藏进程。在Rootkit检测子系统自保护方面,隐藏了与Rootkit检测子系统相关的文件、进程和驱动,并设计了提前启动方式,在降低系统的误检率方面,通过专门的数据分析模块对各检测模块上报的疑似Rootkit进行再分析。本文将自检子系统和Rootkit检测子系统设计成没有直接依赖和调用关系的两个独立子系统,并详细研究了两个子系统之间的通信、认证过程和自检子系统对Rootkit检测子系统的检测、恢复过程。对自检子系统的设计包括密钥的生成算法、信息的加密和解密过程、保护数据的内容和认证的流程等。本文对文件完整性检测算法的可靠性进行了实验分析;还对自检子系统和Rootkit检测子系统之间的通信、认证过程进行了实验;并从理论上分析了Rootkit检测系统对Rootkit的检测效果。
陈琦珺[10](2009)在《面向抗攻击测试的主机系统完整性检测方法研究》文中提出随着科学技术的迅猛发展,网络的应用越来越普及,伴随而来的是网络信息安全威胁的不断增加,对网络中重要主机系统抗攻击能力的测试,是一个迫切需要的课题,它越来越多的受到人们的关注。主机系统抗攻击能力的测试,即抗攻击测试,它是借助于模拟攻击等手段,对系统在遭受攻击的情况下维持其安全功能能力进行测试和评价的过程。那么,如何衡量主机系统的抗攻击能力?我们是通过检测模拟攻击对主机系统机密性、完整性以及可用性三个属性产生的攻击效果来度量主机系统的抗攻击能力的。由于大部分攻击都会对主机系统的完整性产生一定的影响,因此,进行主机系统完整性的检测是攻击效果检测的重要部分。面向抗攻击测试中的主机系统完整性检测的目标是检测主机系统在遭受模拟攻击的情况下,完整性发生了怎样的变化,受损程度如何。根据这一特点,本文进行了下面几方面的工作:1.通过对现有的完整性检测技术研究现状的分析,针对抗攻击测试的特点,提出了从系统的角度来衡量完整性变化的思想,定义了面向抗攻击测试的主机系统完整性检测的概念体系,并结合该检测的特点,构建了面向抗攻击测试的主机系统完整性检测模型。2.提出了注册表完整性监控与完整性分析相结合的面向抗攻击测试的主机系统注册表完整性检测方法,采用钩子技术实现了注册表完整性监控,根据注册表结构的特点,采用先序遍历算法实现了注册表键值的读取,提出了基于BM算法与哈希运算相结合的HBM算法的注册表键值匹配算法。通过实验分析,该检测方法具有较高的可行性和实用性。3.提出了基于Windows Native API和粗糙集理论的面向抗攻击测试的主机系统进程完整性检测方法,并通过研究API调用序列的截获技术,实现了IAT法截获Windows Native API调用序列。通过实验分析,该检测方法适用于抗攻击测试中对主机系统进程完整性的检测。4.定义了主机系统完整性受损指数和各检测项完整性受损指数,根据完整性检测数据的特点,采用模糊综合评价法对单一检测项完整性数据以及系统完整性数据进行了量化,即计算其受损指数,并给出了示例分析。
二、基于Windows的文件完整性检测系统的设计和实现(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、基于Windows的文件完整性检测系统的设计和实现(论文提纲范文)
(1)硬盘木马检测技术的研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 课题研究的背景与意义 |
| 1.2 国内外研究历史与现状 |
| 1.2.1 Bootkit木马研究现状 |
| 1.2.2 固件木马研究现状 |
| 1.2.3 现有检测方法的缺陷及分析 |
| 1.3 本文的主要贡献与创新 |
| 1.4 本论文的结构安排 |
| 第二章 硬盘木马检测相关技术 |
| 2.1 预备知识 |
| 2.1.1 Windows引导和启动过程 |
| 2.1.2 硬盘相关结构 |
| 2.2 相关技术 |
| 2.2.1 Bookit相关技术 |
| 2.2.2 SCSI协议 |
| 2.2.3 SATA协议 |
| 2.2.4 基于MD5 的完整性检测 |
| 2.3 本章小结 |
| 第三章 硬盘木马检测系统设计与实现 |
| 3.1 硬盘木马检测模型 |
| 3.1.1 硬盘木马实现分析 |
| 3.1.2 硬盘木马检测模型 |
| 3.2 硬盘木马检测系统架构设计 |
| 3.2.1 Bootkit检测模块 |
| 3.2.2 硬盘固件检测模块 |
| 3.3 硬盘木马检测系统实现 |
| 3.3.1 引导区检测模块 |
| 3.3.2 关键文件检测模块 |
| 3.3.3 隐藏进程驱动检测模块 |
| 3.3.4 DLL注入检测模块 |
| 3.3.5 固件区提取模块 |
| 3.3.6 基于可信引导的硬盘固件检测模块 |
| 3.3.7 SMART提取分析模块 |
| 3.4 本章小结 |
| 第四章 硬盘木马检测系统测试结果与分析 |
| 4.1 测试环境 |
| 4.2 测试用例 |
| 4.3 测试结果及分析 |
| 4.3.1 Bootkit木马检测模块测试结果及分析 |
| 4.3.2 硬盘固件木马实验结果及分析 |
| 4.4 功能对比 |
| 4.5 本章小结 |
| 第五章 全文总结与展望 |
| 5.1 全文总结 |
| 5.2 后续工作展望 |
| 致谢 |
| 参考文献 |
| 攻读硕士学位期间取得的成果 |
(2)面向可控云的虚拟机域外安全监测与管理技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 课题背景及研究的目的和意义 |
| 1.2 虚拟机自省技术 |
| 1.2.1 虚拟机运行信息采集 |
| 1.2.2 语义还原技术 |
| 1.2.3 建模分析技术 |
| 1.3 虚拟机自省技术的应用 |
| 1.3.1 虚拟机操作系统安全的检测与保护 |
| 1.3.2 恶意软件行为分析 |
| 1.3.3 入侵检测与取证 |
| 1.3.4 提供云安全服务 |
| 1.4 本文的主要研究内容 |
| 1.4.1 本文研究内容 |
| 1.4.2 本文组织结构 |
| 第2章 高性能虚拟机文件系统域外安全检测技术 |
| 2.1 引言 |
| 2.2 相关工作 |
| 2.3 系统设计概述 |
| 2.4 基于后端驱动的单镜像文件扫描 |
| 2.4.1 捕获脏数据块 |
| 2.4.2 文件扫描程序 |
| 2.4.3 性能分析和讨论 |
| 2.5 基于增量镜像的多镜像文件扫描 |
| 2.5.1 QCOW2磁盘镜像与核心方法概述 |
| 2.5.2 监控Linux虚拟机文件系统 |
| 2.5.3 监控Windows虚拟机文件系统 |
| 2.5.4 性能分析 |
| 2.6 异常文件处理 |
| 2.6.1 还原被保护文件 |
| 2.6.2 删除异常文件 |
| 2.7 实验与分析 |
| 2.7.1 有效性测试 |
| 2.7.2 性能测试 |
| 2.7.3 讨论 |
| 2.8 本章小结 |
| 第3章 基于目标的虚拟机关键文件域外实时监管技术 |
| 3.1 引言 |
| 3.2 相关工作 |
| 3.3 基于目标的实时文件监控概述 |
| 3.3.1 系统概述 |
| 3.3.2 实时监控目标文件 |
| 3.3.3 自动化创建目标文件缓存 |
| 3.3.4 阻止越权访问 |
| 3.4 虚拟机内核结构体自动化迁移 |
| 3.4.1 自动化内存区域分配 |
| 3.4.2 自动化结构体迁移 |
| 3.5 系统实现 |
| 3.5.1 自动化查找内核结构体 |
| 3.5.2 监控特定内存区域 |
| 3.5.3 获取目标进程信息 |
| 3.5.4 阻止越权访问 |
| 3.6 实验与分析 |
| 3.6.1 有效性测试 |
| 3.6.2 文件系统性能测试 |
| 3.6.3 与基于操作的方法对比 |
| 3.6.4 内存性能测试 |
| 3.7 讨论 |
| 3.8 本章小结 |
| 第4章 页面级虚拟机内核控制流完整性动态监测技术 |
| 4.1 引言 |
| 4.2 相关工作 |
| 4.3 页面级内核动态监测概述 |
| 4.3.1 威胁模型 |
| 4.3.2 系统概述 |
| 4.4 系统详细设计 |
| 4.4.1 控制流采集 |
| 4.4.2 学习建模 |
| 4.4.3 动态监控 |
| 4.4.4 性能优化 |
| 4.5 系统实现 |
| 4.5.1 监控系统调用的启动和返回 |
| 4.5.2 监控内存页面的修改 |
| 4.5.3 内存页面执行跟踪 |
| 4.5.4 提取页面内容 |
| 4.6 实验与分析 |
| 4.6.1 有效性测试 |
| 4.6.2 性能测试 |
| 4.7 本章小结 |
| 第5章 基于虚拟机自省的自动化域外细粒度管控技术 |
| 5.1 引言 |
| 5.2 相关工作 |
| 5.3 基于系统调用注入的域外管理概述 |
| 5.4 系统详细设计 |
| 5.4.1 注入系统调用选择 |
| 5.4.2 傀儡程序选择 |
| 5.4.3 调用注入及数据交换 |
| 5.4.4 连续系统调用注入 |
| 5.4.5 傀儡进程保护 |
| 5.5 系统实现 |
| 5.5.1 读写虚拟机内存 |
| 5.5.2 安全取指 |
| 5.5.3 虚拟机内存保护 |
| 5.6 实验与分析 |
| 5.6.1 有效性测试 |
| 5.6.2 安全性测试 |
| 5.6.3 性能测试 |
| 5.7 本章小结 |
| 结论 |
| 参考文献 |
| 攻读博士学位期间发表的论文及其它成果 |
| 致谢 |
| 个人简历 |
(3)基于内核对象管理器的钩子型Rootkit检测技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 Rootkit检测技术研究现状 |
| 1.2.2 现有Rootkit检测方法的不足 |
| 1.3 主要研究内容 |
| 1.4 论文组织结构 |
| 第2章 Rootkit技术与原理 |
| 2.1 系统调用流程 |
| 2.2 Rootkit实现技术 |
| 2.2.1 修改执行路径技术 |
| 2.2.2 直接内核对象操纵技术 |
| 2.3 钩子型Rootkit原理分析 |
| 2.3.1 指针重定向技术的原理 |
| 2.3.2 热修补技术的原理 |
| 2.4 本章小结 |
| 第3章 基于对象管理器的Rootkit检测技术设计 |
| 3.1 多进程视图对比检测模型 |
| 3.1.1 检测模型定义 |
| 3.1.2 现有进程视图获取方法分析 |
| 3.1.3 检测技术总体设计 |
| 3.2 构建虚拟进程视图 |
| 3.2.1 分发器对象 |
| 3.2.2 获取分发器对象的方法 |
| 3.2.3 PoolTag搜索规则 |
| 3.2.4 搜索范围的确定 |
| 3.2.5 查找非换页内存池基本区中的已分配页面 |
| 3.2.6 查找非换页内存池扩展区中的已分配页面 |
| 3.2.7 由分发器对象构建进程视图 |
| 3.3 构建物理进程视图 |
| 3.3.2 进程语义恢复 |
| 3.4 差异分析 |
| 3.5 本章小结 |
| 第4章 系统实现与实验 |
| 4.1 系统实现 |
| 4.1.1 程序数据库文件解析模块 |
| 4.1.2 对象搜索模块 |
| 4.1.3 虚拟与物理进程视图构建模块 |
| 4.1.4 差异分析模块 |
| 4.2 Rootkit规避攻击实验 |
| 4.2.1 篡改PoolTag |
| 4.2.2 篡改页目录页面 |
| 4.2.3 篡改PEB |
| 4.3 性能实验 |
| 4.3.1 PoolTag搜索实验 |
| 4.3.2 进程视图生成实验 |
| 4.4 Rootkit检测实验 |
| 4.5 本章小结 |
| 结论 |
| 参考文献 |
| 致谢 |
| 个人简历 |
(4)基于QEMU的恶意程序行为检测研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 国内外研究现状 |
| 1.3 本文主要研究内容 |
| 1.4 本文的组织结构 |
| 第二章 相关技术和理论基础 |
| 2.1 虚拟化技术 |
| 2.1.1 虚拟化技术的分类 |
| 2.1.2 虚拟化技术的应用 |
| 2.1.3 VMM的类型 |
| 2.2 QEMU |
| 2.2.1 QEMU系统架构 |
| 2.2.2 QEMU工作原理 |
| 2.3 程序行为检测技术 |
| 2.4 本章小结 |
| 第三章 基于QEMU的恶意程序行为检测模型研究 |
| 3.1 检测模型架构 |
| 3.2 信息捕获与重构 |
| 3.2.1 运行时内存信息获取及重构 |
| 3.2.2 系统内核级别事件截获和重构 |
| 3.2.3 磁盘文件操作截获和重构 |
| 3.2.4 网络设备行为截获和重构 |
| 3.3 基于数据挖掘的程序行为分析 |
| 3.3.1 行为数据预处理 |
| 3.3.2 基于C4.5 算法决策树的恶意程序行为判定 |
| 3.3.3 阀值的确定 |
| 3.4 本章小结 |
| 第四章 恶意程序行为检测系统的设计与实现 |
| 4.1 开发环境 |
| 4.2 系统总体结构 |
| 4.3 检测系统主要模块的设计 |
| 4.3.1 CPU寄存器信息捕获模块的设计 |
| 4.3.2 内存信息捕获模块的设计 |
| 4.3.3 系统运行状态捕获模块的设计 |
| 4.3.4 磁盘及网络监控模块的设计 |
| 4.3.5 数据预处理与分析模块的设计 |
| 4.4 检测系统主要模块的实现 |
| 4.4.1 CPU寄存器信息捕获模块的实现 |
| 4.4.2 内存信息捕获模块的实现 |
| 4.4.3 系统运行状态捕获模块的实现 |
| 4.4.4 磁盘及网络监控模块的实现 |
| 4.4.5 数据处理与分析模块的实现 |
| 4.5 本章小结 |
| 第五章 实验与分析 |
| 5.1 实验环境 |
| 5.1.1 环境搭建 |
| 5.1.2 测试样本 |
| 5.2 功能测试 |
| 5.2.1 各类信息的捕获 |
| 5.2.2 程序行为的分析与判断 |
| 5.3 实验结果分析 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 本文的主要工作 |
| 6.2 未来工作 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间已发表的学术论文 |
(5)软件完整性自动检测系统的设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 选题背景 |
| 1.2 国内外研究现状 |
| 1.3 本文工作 |
| 1.4 本文组织结构 |
| 第二章 软件完整性自动化检测相关技术 |
| 2.1 虚拟化技术 |
| 2.2 TESTGRID 测试框架 |
| 2.3 XML 存储技术 |
| 2.4 CASTOR 技术 |
| 2.5 JACOB 技术 |
| 2.6 本章小结 |
| 第三章 系统分析 |
| 3.1 需求分析 |
| 3.1.1 可行性分析 |
| 3.1.2 功能需求分析 |
| 3.1.3 性能需求分析 |
| 3.2 系统检测的对象确定与标准制定 |
| 3.2.1 检测对象依赖库及其检测标准制定 |
| 3.2.2 检测对象软件基本功能及其检测标准制定 |
| 3.2.3 检测对象文件完整性及其标准制定 |
| 3.3 本章小结 |
| 第四章 系统设计与实现 |
| 4.1 系统总体架构的设计 |
| 4.2 虚拟机模块设计与实现 |
| 4.3 软件自动安装模块设计与实现 |
| 4.3.1 基于 Linux 平台的软件自动安装模块的设计与实现 |
| 4.3.2 基于 Windows 平台的软件自动安装模块的设计与实现 |
| 4.4 模板生成与匹配模块设计与实现 |
| 4.4.1 基于 Castor XML 的模板生成与匹配模块的关键技术应用 |
| 4.4.2 模板生成设计与实现 |
| 4.4.3 匹配和异常处理设计与实现 |
| 4.5 基本功能测试模块设计与实现 |
| 4.5.1 命令行模式的基本功能测试模块设计与实现 |
| 4.5.2 GUI 模式基本功能测试模块设计与实现 |
| 4.6 报告发送邮件模块的设计与实现 |
| 4.7 本章小结 |
| 第五章 系统测试 |
| 5.1 系统测试 |
| 5.1.1 虚拟机模块功能与性能测试 |
| 5.1.2 软件自动安装模块功能与性能测试 |
| 5.1.3 模板生成与匹配模块功能与性能测试 |
| 5.1.4 基本功能测试模块与邮件报告模块功能与性能测试 |
| 5.2 系统测试效果分析 |
| 5.4 本章小结 |
| 第六章 结束语 |
| 6.1 总结 |
| 6.2 展望 |
| 致谢 |
| 参考文献 |
(6)进程隐藏技术及其在恶意代码检测中的应用(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 研究内容 |
| 1.4 论文结构 |
| 第2章 相关技术 |
| 2.1 Windows 体系结构 |
| 2.1.1 Windows 体系结构简介 |
| 2.1.2 Windows 系统组件 |
| 2.2 驱动程序开发 |
| 2.2.1 驱动程序结构 |
| 2.2.2 编译驱动程序 |
| 2.2.3 调试驱动程序 |
| 2.2.4 应用程序和驱动程序之间的通信 |
| 2.3 进程隐藏技术 |
| 2.3.1 用户态进程隐藏技术 |
| 2.3.2 内核态进程隐藏技术 |
| 2.4 本章小结 |
| 第3章 检测系统模型 |
| 3.1 功能分析与设计目标 |
| 3.2 功能模块概要设计 |
| 3.2.1 启动模块 |
| 3.2.2 自身完整性保护模块 |
| 3.2.3 用户态进程检测模块 |
| 3.2.4 内核态进程检测模块 |
| 3.2.5 隐藏进程处理模块 |
| 3.3 本章小结 |
| 第4章 检测系统的详细设计与具体实现 |
| 4.1 启动模块 |
| 4.1.1 加载动态链接库文件 |
| 4.1.2 加载驱动程序文件 |
| 4.2 自身完整性保护模块 |
| 4.3 用户态进程检测模块 |
| 4.3.1 常规获取进程方法 |
| 4.3.2 用户态检测方法 |
| 4.4 内核态进程检测模块 |
| 4.4.1 钩子检测方法 |
| 4.4.2 基于内核对象检测方法 |
| 4.4.3 基于线程调度检测方法 |
| 4.5 隐藏进程处理模块 |
| 4.6 本章小结 |
| 第5章 实验结果分析 |
| 5.1 测试环境 |
| 5.2 功能测试 |
| 5.2.1 自身完整性测试 |
| 5.2.2 检测 Hacker Defender |
| 5.2.3 检测 He4Hook |
| 5.2.4 检测 Fu |
| 5.3 总体评价 |
| 5.4 本章小结 |
| 结论 |
| 参考文献 |
| 攻读硕士学位期间发表的论文和取得的科研成果 |
| 致谢 |
(7)基于行为分析的恶意代码检测技术研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题背景 |
| 1.2 课题的研究意义和目的 |
| 1.3 课题的国内外研究现状 |
| 1.4 本文的主要研究工作和组织结构 |
| 第二章 恶意代码及其分析检测方法概述 |
| 2.1 恶意代码种类及特点 |
| 2.1.1 病毒(Virus) |
| 2.1.2 蠕虫(Worm) |
| 2.1.3 后门程序(Backdoor) |
| 2.1.4 木马(Trojan Horse) |
| 2.1.5 僵尸程序(Bot) |
| 2.1.6 间谍软件(Spyware) |
| 2.1.7 逻辑炸弹(Logic Bomb) |
| 2.2 恶意代码行为概述 |
| 2.3 恶意代码分析方法 |
| 2.3.1 恶意代码静态分析方法 |
| 2.3.2 恶意代码动态分析方法 |
| 2.4 恶意代码检测方法 |
| 2.4.1 特征码扫描 |
| 2.4.2 完整性检测 |
| 2.4.3 虚拟机检测 |
| 2.4.4 启发式检测 |
| 2.5 本章小结 |
| 第三章 关键技术研究 |
| 3.1 手动恶意代码行为分析 |
| 3.2 恶意代码用户态行为分析技术研究 |
| 3.2.1 用户态行为分析总述 |
| 3.2.2 获取系统调用函数地址序列 |
| 3.2.3 用户态行为分析技术的原理及问题 |
| 3.3 恶意代码内核态隐藏行为分析技术研究 |
| 3.3.1 恶意代码隐藏行为详析 |
| 3.3.2 内核态隐藏行为分析技术方案 |
| 3.4 本章小结 |
| 第四章 基于行为分析的恶意代码检测系统总体框架 |
| 4.1 总体目标 |
| 4.2 系统总体框架 |
| 4.2.1 系统结构 |
| 4.2.2 安全虚拟执行平台 |
| 4.2.3 真实的测试分析平台 |
| 4.3 系统关键技术研究 |
| 4.3.1 断点处理机制 |
| 4.3.2 通信机制 |
| 4.4 本章小结 |
| 第五章 基于行为分析的恶意代码检测系统详细设计 |
| 5.1 初始化详细设计 |
| 5.1.1 断点处理模块初始化 |
| 5.1.2 用户态行为分析模块初始化 |
| 5.1.3 内核态隐藏行为分析模块初始化 |
| 5.2 断点处理模块详细设计 |
| 5.2.1 断点处理模块设计 |
| 5.2.2 断点的设置与处理 |
| 5.3 用户态行为分析模块详细设计 |
| 5.3.1 用户态行为分析模块设计 |
| 5.3.2 用户态行为分析分派函数 |
| 5.3.3 用户态行为分析功能函数 |
| 5.4 内核态隐藏行为分析模块详细设计 |
| 5.4.1 SSDT 完整性检测 |
| 5.4.2 基于线程调度链表的检测 |
| 5.4.3 IAT 完整性检测 |
| 5.5 用户界面详细设计 |
| 5.5.1 主界面设计 |
| 5.5.2 子界面设计 |
| 5.6 本章小结 |
| 第六章 结果与分析 |
| 6.1 测试结果 |
| 6.2 测试结果分析 |
| 6.3 本章小结 |
| 第七章 结束语 |
| 致谢 |
| 参考文献 |
| 附录 |
(8)高隐藏性木马的深度检测技术实现研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究目的与意义 |
| 1.2 研究背景 |
| 1.2.1 概述 |
| 1.2.2 木马检测现状 |
| 1.3 主要研究工作 |
| 1.4 论文组织结构 |
| 第二章 木马原理及通用检测技术研究 |
| 2.1 木马相关原理 |
| 2.1.1 木马的定义 |
| 2.1.2 木马的危害性 |
| 2.1.3 木马的生存周期 |
| 2.2 基于主机的木马检测 |
| 2.2.1 特征码匹配 |
| 2.2.2 异常行为分析 |
| 2.2.3 启发式分析 |
| 2.3 小结 |
| 第三章 高隐藏性木马技术研究 |
| 3.1 高隐藏性木马定义 |
| 3.2 高隐藏性木马隐藏原理 |
| 3.3 高隐藏性木马隐藏技术分析 |
| 3.3.1 挂钩技术分析 |
| 3.3.2 过滤驱动技术分析 |
| 3.4 高隐藏性木马隐藏实例分析 |
| 3.4.1 进程隐藏技术分析 |
| 3.4.2 文件隐藏技术分析 |
| 3.4.3 注册表隐藏技术分析 |
| 3.4.4 通信端口隐藏技术分析 |
| 3.5 小结 |
| 第四章 高隐藏性木马检测技术研究及实现 |
| 4.1 高隐藏类木马检测思想 |
| 4.1.1 内核内存特征码扫描检测 |
| 4.1.2 内存完整性校验检测 |
| 4.1.3 交叉视图检测 |
| 4.1.4 关联分析检测 |
| 4.1.5 可执行路径分析检测 |
| 4.1.6 指令跳转分析检测 |
| 4.2 高隐藏类木马检测方案设计 |
| 4.3 系统完整性检测 |
| 4.3.1 磁盘文件完整性检测 |
| 4.3.2 内存映像完整性检测 |
| 4.4 隐藏资源检测 |
| 4.4.1 进程隐藏检测 |
| 4.4.2 文件隐藏检测 |
| 4.4.3 注册表隐藏检测 |
| 4.4.4 通信端口隐藏检测 |
| 4.5 小结 |
| 第五章 高隐藏性木马检测系统框架及评估 |
| 5.1 系统需求及可行性分析 |
| 5.2 DHTDS 检测系统架构设计 |
| 5.2.1 DHTDS 检测系统总体架构 |
| 5.2.2 DHTDS 检测系统模块设计 |
| 5.2.3 如何降低误报率 |
| 5.3 DHTDS 系统评估 |
| 5.3.1 环境搭建 |
| 5.3.2 检测结果分析 |
| 5.3.3 检测结果对比 |
| 5.3.4 误报率分析 |
| 5.3.5 不足之处讨论 |
| 5.4 小结 |
| 第六章 结束语 |
| 6.1 论文的主要成果、创新与不足 |
| 6.2 未来的研究工作 |
| 致谢 |
| 参考文献 |
| 攻硕期间取得的研究成果 |
(9)基于Windows操作系统的Rootkit检测系统研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 引言 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 论文主要内容和组织结构 |
| 1.3.1 论文主要内容 |
| 1.3.2 论文组织结构 |
| 第二章 Rootkit 检测系统整体框架 |
| 2.1 需求分析 |
| 2.2 设计目标 |
| 2.3 设计方案 |
| 2.4 本章小结 |
| 第三章 与Rootkit 检测相关的操作系统机制和对象 |
| 3.1 Intel 访问控制机制 |
| 3.2 内存分页机制和寻址方式 |
| 3.3 Windows 操作系统总体框架与设备驱动程序 |
| 3.4 进程和线程 |
| 3.5 系统服务调度表SSDT |
| 3.6 中断和中断描述符表IDT |
| 3.7 系统信息查询函数 |
| 3.8 PE 格式文件 |
| 3.9 本章小结 |
| 第四章 Rootkit 检测子系统设计 |
| 4.1 文件完整性检测 |
| 4.2 钩子检测 |
| 4.2.1 用户空间钩子 |
| 4.2.2 内核空间钩子 |
| 4.2.3 钩子函数检测 |
| 4.3 隐藏进程和驱动检测 |
| 4.4 隐藏文件检测 |
| 4.5 隐藏注册表检测 |
| 4.6 Rootkit 检测子系统的启动策略 |
| 4.7 用户交互方式的设计 |
| 4.8 Rootkit 检测子系统的隐藏 |
| 4.8.1 Rootkit 检测子系统相关文件的隐藏 |
| 4.8.2 Rootkit 检测子系统内核模块和进程的隐藏 |
| 4.9 本章小结 |
| 第五章 自检子系统设计 |
| 5.1 自检子系统的独立性及其意义 |
| 5.2 自检子系统对Rootkit 检测子系统的检测过程 |
| 5.3 自检子系统与Rootkit 检测子系统间的身份认证过程 |
| 5.4 自检子系统进入rootkit 检测子系统的方式 |
| 5.5 本章小结 |
| 第六章 Rootkit 检测系统分析和实验 |
| 6.1 实验环境 |
| 6.2 文件完整性检测分析与实验 |
| 6.3 自检子系统和Rootkit 检测子系统之间的认证过程实验 |
| 6.4 Rootkit 检测子系统的Rootkit 检测分析 |
| 6.5 本章小结 |
| 第七章 总结 |
| 7.1 本文的主要工作 |
| 7.2 下一步的工作 |
| 致谢 |
| 参考文献 |
(10)面向抗攻击测试的主机系统完整性检测方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 课题研究背景 |
| 1.1.1 网络与信息系统安全现状 |
| 1.1.2 安全评测的发展和意义 |
| 1.1.3 攻击测试和抗攻击测试 |
| 1.2 完整性检测技术研究现状 |
| 1.2.1 文件完整性检测 |
| 1.2.2 日志完整性检测 |
| 1.2.3 注册表异常检测 |
| 1.2.4 进程异常检测 |
| 1.2.5 现状分析 |
| 1.3 课题来源 |
| 1.4 研究内容 |
| 1.5 结构安排 |
| 1.6 本章小结 |
| 第二章 面向抗攻击测试的主机系统完整性检测 |
| 2.1 抗攻击测试 |
| 2.2 完整性检测与抗攻击测试 |
| 2.3 主机系统完整性概念 |
| 2.4 面向抗攻击测试的主机系统完整性分类 |
| 2.4.1 Windows安全系统组件 |
| 2.4.2 主机系统完整性分类相关概念 |
| 2.5 面向抗攻击测试的主机系统完整性检测特点 |
| 2.6 面向抗攻击测试的主机系统完整性检测模型 |
| 2.7 本章小结 |
| 第三章 面向抗攻击测试的注册表完整性检测 |
| 3.1 概述 |
| 3.2 注册表完整性检测思想 |
| 3.2.1 注册表完整性检测目标 |
| 3.2.2 注册表完整性检测流程 |
| 3.3 注册表完整性监控 |
| 3.4 注册表完整性分析 |
| 3.4.1 基于前序遍历算法的注册表键值读取算法 |
| 3.4.2 基于HBM算法的注册表键值匹配算法 |
| 3.5 注册表完整性受损判断 |
| 3.6 实验结果与分析 |
| 3.6.1 监控阶段 |
| 3.6.2 分析阶段 |
| 3.6.3 结果分析 |
| 3.7 本章小结 |
| 第四章 面向抗攻击测试的进程完整性检测方法 |
| 4.1 相关理论技术分析 |
| 4.1.1 进程概述 |
| 4.1.2 Windows Native API及其截获技术分析 |
| 4.1.3 粗糙集理论分析 |
| 4.2 进程完整性检测思想 |
| 4.2.1 进程完整性检测与异常检测的关系 |
| 4.2.2 进程完整性检测目标 |
| 4.2.3 进程完整性检测流程 |
| 4.3 进程完整性检测方法 |
| 4.3.1 IAT法实现Windows Native API截获 |
| 4.3.2 基于Windows Native API序列与粗糙集理论的进程未受损模式 |
| 4.3.3 基于未受损模式的进程受损检测 |
| 4.3.4 进程受损模式建立与基于受损模式的进程完整性受损检测 |
| 4.4 实验结果与分析 |
| 4.4.1 未受损模式建立 |
| 4.4.2 进程受损检测 |
| 4.4.3 结果分析 |
| 4.5 本章小结 |
| 第五章 面向抗攻击测试的主机系统完整性受损量化 |
| 5.1 完整性受损指数定义 |
| 5.2 完整性受损量化方法选择 |
| 5.3 模糊综合评价法分析 |
| 5.4 单一检测项完整性受损量化 |
| 5.4.1 量化原理 |
| 5.4.2 注册表完整性受损量化 |
| 5.4.3 进程完整性受损量化 |
| 5.5 主机系统完整性受损量化 |
| 5.6 示例分析 |
| 5.6.1 注册表完整性受损量化示例 |
| 5.6.2 进程完整性受损量化示例 |
| 5.7 本章小结 |
| 第六章 总结与展望 |
| 6.1 主要工作总结 |
| 6.2 有待进一步研究的问题 |
| 参考文献 |
| 作者简历 攻读硕士学位期间完成的主要工作 |
| 致谢 |
四、基于Windows的文件完整性检测系统的设计和实现(论文参考文献)
- [1]硬盘木马检测技术的研究[D]. 邓师放. 电子科技大学, 2020(07)
- [2]面向可控云的虚拟机域外安全监测与管理技术研究[D]. 詹东阳. 哈尔滨工业大学, 2019(01)
- [3]基于内核对象管理器的钩子型Rootkit检测技术研究[D]. 孙飞. 哈尔滨工业大学, 2020(01)
- [4]基于QEMU的恶意程序行为检测研究[D]. 蒋传勇. 上海交通大学, 2016(03)
- [5]软件完整性自动检测系统的设计与实现[D]. 梁红伟. 西安电子科技大学, 2012(03)
- [6]进程隐藏技术及其在恶意代码检测中的应用[D]. 张德成. 哈尔滨工程大学, 2012(02)
- [7]基于行为分析的恶意代码检测技术研究与实现[D]. 杨婷. 电子科技大学, 2010(04)
- [8]高隐藏性木马的深度检测技术实现研究[D]. 王鼎. 电子科技大学, 2010(04)
- [9]基于Windows操作系统的Rootkit检测系统研究[D]. 周仕荣. 电子科技大学, 2010(04)
- [10]面向抗攻击测试的主机系统完整性检测方法研究[D]. 陈琦珺. 解放军信息工程大学, 2009(03)