本站业务范围

  • 毕业论文定制
    南粤论文中心提供本科/研究生/博士毕业论文,从提纲,开题到后期免费修改,免费指导答辩等 ,联系人:魏老师,电话:13450375436。
  • 代写代发职称论文
    南粤论文中心提供职称论文代写,报告总结,演讲致辞,心得体会,党团辅导等代写服务并推荐发表省级,国家级,核心杂志包发。联系QQ:631069747。
首页 > 理工论文 > 通信学 >

应用专家系统开发Windows恶意代码检测系统的研究水(2)

来源:南粤论文中心 作者:周瑞丽,潘剑锋,谭小 发表于:2010-05-13 07:58  点击:
【关健词】启发式技术;专家系统;行为检测
inljne hook、IAT hook、EAT hook以及内核模式的Dnver dispabch hook、NDIS hook等。HOOK是很多恶意软件实 现其功能的重要手段之一,扫描HoOK的结果中就包含了大 最关于恶意软件的行为遗留痕迹,从中分析即可获得恶

inljne hook、IAT hook、EAT hook以及内核模式的Dnver dispabch hook、NDIS  hook等。HOOK是很多恶意软件实 现其功能的重要手段之一,扫描HoOK的结果中就包含了大 最关于恶意软件的行为遗留痕迹,从中分析即可获得恶意软 件的行为特征。
(4)关键操作系统内核结构的内存扫描,这些关键内核 结构包括进程控制块、内核线程控制块、内核模块等等。通 过此类扫描能更有效地发现恶意软件遗留行为痕迹。
截获的行为数据不能直接交付专家系统模块,需要简 单的输出预处理,使专家系统模块可以识别处理。输出规 格化处理模块,就是将捕获到的原始数据转换成专家系统 推理机识别的规格化数据——事实(fact)。行为数据经过预 处理后将被存储在事实表中,用于推理引擎模块进行推理, 以判断该进程是否是恶意的。
2.3事实表 截获的行为数据经过预处理后将作为事实,因此,我们
需要定义描述事实的模板。每个自定义模板的结构都基于具 体的行为特征,例如,“wr慨m锄ory”行为,它描述写内 存这个行为,包括以下槽:源进程、目标进程和写内存的基
地址。定义了模板后,行为捕获模块采集到的数据将使用这 些自定义模板声明为事实。
2.4推理引擎 CLIPs的推理引擎自动匹配规则的前件和事实表的当前

 

万方数据
状态,以确定哪些规则将被触发。一旦知识库建立好后,并
且事实表也已生成,则CLIPS将执行推理引擎匹配成功的规 则。CLIPs的推理循环可分为4个阶段:
——模式匹配:从知识库中第一条规则开始,依次扫描 知识库中所有规则,把规则的前件与动态存储器中的当前事 实相匹配,以搜索满足条件的规则。
——冲突消解在发生冲突,即多条规则同时被匹配时,
根据预先确定的冲突消解策略,确定触发规则。
——激活规则:调用匹配所触发规则的所有子目标的
事实。
——动作:把所触发规则的结论添加到动态存储器。
2.5用户界面 用户界面是用户与专家系统交互的一个接口,它包括知
识库的选择菜单、开始推理的按钮和检测结果列表的窗口。

5实验和讨论
由于没有现有的公开可获得的基于专家系统的检测系统 或设计算法,我们无法同其他基于专家系统的检测系统进行 性能比较。因此,为了验证本文系统的准确性,我们与一些 知名的采用了启发式检测方法的反病毒工具进行了性能上的 比较。我们选择5个木马样本,一个蠕虫样本和Hxdef(黑客 防护者)Rootlm』:为恶意代码样本,并使用一些加壳或加密 保护工具对上述样本进行处理,以得到一些变种。这些变种 和前述7个样本作为恶意代码样本集。本文使用的加壳或加 密保护工具有:ACProtect、EXECryptor、PE—Armor, The血da和Wj力】icen辩。在实验中,使用上述加壳或加密保 护工具处理上述7个样本,每个样本可以得到5个变种,从 而得到了包含42个样本的恶意代码样本集。然后,使用5款 带有启发式检测的反病毒工具:Bitdefender、F—Secure,
EsET NoD32、Kaspe础y和Norton,来扫描这42个恶意
代码样本,扫描结果见表1。这些反病毒工具的病毒库采用 的是目前为止的最新版本。最后,运行这些恶意代码样本并 使用本文提出的系统进行检测,检测结果见表l。由表1可 以看出,本文的系统比其他反病毒工具的检测率高。
表l   一些反病毒工具和本文系统的检测结果

 


由实验可得出我们的系统能够检测使用已知技术的恶 意代码,甚至一些采用底层技术的恶意代码,如R00tkit。
虽然通过加密算法组合,在不需要大幅度增加密钥的级别的         间产品,仍旧看不到原始文件。只有通过每种加密算法的解密 情况下也可以实现数据的高安全级别,但是由于多种不同算        过程,才能得到明文。而由于不同的算法除了产生不同的组合 法的随机组合,给解密过程造成一定的难度,如果采用单一        顺序外,每种算法的加密规则无形中也出现了叠加、组合,因 算法,不需要考虑不同算法的不同密钥,算法同步比较容易        此,双重组合的多重加密算法带来的是高级别加密数据的安 实现。但是,如果采用了多重不一的算法组合加密,就存在        全。对于上述方法,本人经过实践,采用四重不一的加密算法 一定难度。对此,本人提出一种基本思路,首先,将加密密        组合,实行单一六位密钥制,在数据加密后的传输过程中目前 钥采用约定的加密算法或者由PKI中心派发的加密算法类型          尚未发现被破解的情况,包括部分信息安全级别极高的数据。

进行加密,如采用非对称的RSA加密算法进行加密传输,接 收方解密密钥序列后,分别进行解密。至于加密算法的组合        b  结估
顺序及类型,可合并加密密钥系列一并加密后传输给接收方。           没有绝对安全的加密,只有相对的数据安全,因此,上 这样就基本实现了加解密的同步。                              述加密密算法的组合一定程度上提升了加密数据的安全级别,
3.5算法的的组件设计                                         而且,一定程度上避开了单一算法高级别密钥的难度,非常 上述加密算法可以设计成一个个独立的组件,而且形成        方便各类用户使用。至于采用C/S模式的可升级模式,目前 一个个单独的文件,通过一个控制模块来实现调度,更新过         技术比较成熟,很容易实现。唯一不足的就是组合加密算法(责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)

顶一下
(0)
0%
踩一下
(0)
0%
  • 上一篇:基于双通信模式的分布式粮情测控系统设计
  • 下一篇:对外汉语多媒体网络教学与网站建设探讨


    • 版权声明:因本文均来自于网络,如果有版权方面侵犯,请及时联系本站删除.
    网站地图