基于沙箱的主動(dòng)防御系統(tǒng).ppt

基于沙箱的主動(dòng)防御系統(tǒng),指導(dǎo)老師：周學(xué)海 學(xué)生 ：李 奇,報(bào)告內(nèi)容,選題依據(jù) 研究?jī)?nèi)容 研究方法和技術(shù)路線 可行性分析 預(yù)期成果 創(chuàng)新之處 工作進(jìn)度安排,研究背景主動(dòng)防御,定義 結(jié)構(gòu),研究背景沙箱技術(shù),定義 分類 純用戶態(tài) 純內(nèi)核態(tài) 混合型 過(guò)濾型 委托型,相關(guān)研究概況截獲系統(tǒng)調(diào)用,對(duì)象 API INT 2E 或SYSENTER 例子 瑞星反病毒系統(tǒng)掛接了ntoskrnl.exe、ndis.sys等系統(tǒng)關(guān)鍵模塊里的API 方法 修改PE文件的IAT表 修改SSDT表中系統(tǒng)調(diào)用函數(shù)入口點(diǎn) 直接修改二進(jìn)制代碼中的內(nèi)容,相關(guān)研究概況布控點(diǎn)設(shè)置,相關(guān)研究概況分析系統(tǒng)調(diào)用序列,短序列時(shí)序分析方法 變長(zhǎng)時(shí)序分析方法 隱馬爾可夫模型 基于神經(jīng)網(wǎng)絡(luò)的機(jī)器學(xué)習(xí)方法 分類分析/數(shù)據(jù)挖掘方法 基于關(guān)聯(lián)規(guī)則分析方法 系統(tǒng)調(diào)用序列和參數(shù)信息結(jié)合的分析方法 基于粗糙集理論分析方法,相關(guān)研究概況進(jìn)程遷移技術(shù),進(jìn)程簡(jiǎn)介 進(jìn)程的執(zhí)行環(huán)境 進(jìn)程遷移的步驟 主機(jī)調(diào)度目標(biāo)進(jìn)程狀態(tài)收集狀態(tài)保存狀態(tài)遷移狀態(tài)恢復(fù)恢復(fù)斷點(diǎn) 進(jìn)程遷移算法 貪婪拷貝算法 惰性拷貝算法 預(yù)拷貝算法 基于檢查點(diǎn)的遷移算法,研究?jī)?nèi)容,研究系統(tǒng)中布控點(diǎn)的選擇和設(shè)置 主動(dòng)防御系統(tǒng)的性能嚴(yán)重依賴于底層布控的粒度，研究系統(tǒng)中布控點(diǎn)的選擇和設(shè)置，增加有效布控點(diǎn)能提高主動(dòng)防御系統(tǒng)的性能。 沙盤與主機(jī)操作系統(tǒng)間的進(jìn)程遷移技術(shù) 沙盤與主機(jī)操作系統(tǒng)間的進(jìn)程遷移不需要考慮進(jìn)程通信問(wèn)題，但類似與虛擬機(jī)進(jìn)程遷移，存在內(nèi)存遷移、網(wǎng)絡(luò)連接保持、用戶數(shù)據(jù)遷移和沙盤本身效率等問(wèn)題。 進(jìn)程運(yùn)行結(jié)果遷移回主機(jī)操作系統(tǒng) 。,研究基于系統(tǒng)調(diào)用序列分析的惡意行為辨識(shí)方法 現(xiàn)階段主動(dòng)防御系統(tǒng)中規(guī)則庫(kù)大多根據(jù)系統(tǒng)調(diào)用序列進(jìn)行分析，將進(jìn)程運(yùn)行結(jié)果加入到系統(tǒng)調(diào)用序列中，可以降低主動(dòng)防御系統(tǒng)的誤報(bào)率。但是，由于目前的防御系統(tǒng)中規(guī)則庫(kù)生成算法采用的對(duì)象只限于系統(tǒng)調(diào)用序列，在加入進(jìn)程運(yùn)行結(jié)果作為分析對(duì)象后，并不清楚會(huì)有怎樣的效果 。,研究方法和技術(shù)路線,研究系統(tǒng)中布控點(diǎn)的選擇和設(shè)置 調(diào)研現(xiàn)有的主動(dòng)防御系統(tǒng)中布控點(diǎn)的選擇和設(shè)置方法 分析windows系統(tǒng)調(diào)用的流程，歸納出系統(tǒng)調(diào)用所使用到的敏感區(qū)域（比如SSDT表） 對(duì)現(xiàn)有的rootkit技術(shù)進(jìn)行分析，尤其是繞過(guò)主動(dòng)防御的rootkit技術(shù)進(jìn)行分析 對(duì)剩余的API和系統(tǒng)調(diào)用進(jìn)行功能分析 ，尤其關(guān)注能獲得ring0級(jí)特權(quán)的API和系統(tǒng)調(diào)用,沙盤與主機(jī)操作系統(tǒng)間的進(jìn)程遷移技術(shù) 用DEV(Device Exclusion Vector)技術(shù)保護(hù)沙盤內(nèi)存區(qū)域的 采用系統(tǒng)調(diào)用重定向的方法，達(dá)到內(nèi)存遷移的一致性 和保持網(wǎng)絡(luò)連接 通過(guò)實(shí)驗(yàn)分析出保持用戶數(shù)據(jù)遷移一致性所需要的最小數(shù)據(jù)集合 ，結(jié)合貪婪拷貝和惰性拷貝算法，得出一種能夠滿足用戶數(shù)據(jù)一致性的高效的遷移算法,研究基于系統(tǒng)調(diào)用序列分析的惡意行為辨識(shí)方法 實(shí)現(xiàn)現(xiàn)階段已有的系統(tǒng)調(diào)用序列分析方法 將被監(jiān)控進(jìn)程的運(yùn)行結(jié)果加入到系統(tǒng)調(diào)用序列中，作為分析要素 從規(guī)則生成時(shí)間、誤報(bào)率、識(shí)別率等方面進(jìn)行量化評(píng)估,預(yù)期研究成果,研究windows安全體系，通過(guò)對(duì)系統(tǒng)調(diào)用功能和API的分析，得到更全面的布控點(diǎn)方案。 研究沙盤與主機(jī)操作系統(tǒng)間進(jìn)程遷移技術(shù)，使進(jìn)程可以在沙盤和主機(jī)操作系統(tǒng)間遷移。 將進(jìn)程運(yùn)行的中間結(jié)果和最終結(jié)果加入到系統(tǒng)調(diào)用序列作為分析對(duì)象，對(duì)比現(xiàn)有的系統(tǒng)調(diào)用序列分析方法，得到較為有效的算法。 發(fā)表論文1-2篇，完成相關(guān)畢業(yè)論文,創(chuàng)新之處,將沙盤技術(shù)應(yīng)用于主動(dòng)防御系統(tǒng)中，使主動(dòng)防御系統(tǒng)監(jiān)控的進(jìn)程運(yùn)行受到沙盤限制，進(jìn)一步保護(hù)了主機(jī)操作系統(tǒng)。 將進(jìn)程遷移技術(shù)引入沙盤，使沙盤可以隨時(shí)從主機(jī)操作系統(tǒng)中接管進(jìn)程，增加了系統(tǒng)的安全性和沙盤的應(yīng)用范圍。 將進(jìn)程運(yùn)行結(jié)果作為因素加入到進(jìn)程行為序列分析中，使主動(dòng)防御的誤報(bào)率降低。,工作安排,2007.92008.1：相關(guān)文獻(xiàn)資料整理，進(jìn)行針對(duì)性調(diào)研； 2008.2200