基于注册表的入侵检测模型.pdfVIP

学术研究 A c a d e m i c R e s e a r c h 基于注册表的入侵检测模型 宋建栋，单蓉胜，李小勇 (上海交通大学信息安全工程学院，上海 200240) 【摘 要】论文提出一种基于Windows注册表的入侵检测模型，概述了Windows注册表的功能及结构，介绍了 Windows下注册表监控所使用的钩子技术，并给出了模型所用算法。该检测模型的提出，为恶意软件的检测提供了 一种新的思路。 【关键词】Windows注册表；Hook技术；程序监控 【中图分类号】TP309【文献标识码】A 【文章编号】1009-8054(2007) 12-0104-03 A Malicious Softw are Monitoring Model Based On Windows Registry SONG Jian-dong, SHAN Rong-sh eng, LI Xiao-yong (Sch ool of Information Security Engineering, Sh anghai Jiao Tong Univ ersity, Shangh ai, 200240) 【Abstract 】Th is p aper proposes a new model ba sed on Windows Registry to monitor malicious softwares . It describ es th e function and stru cture of Window s registry, introdu ces the hook techn ology, and gives th e algorithm for modelin g. The paper provides a novel idea in mon itorin g malicious software. 【Keywords 】Win dows registry; h ook technology; program monitoring 0 引言 1 Windows注册表简介 [2] Microsoft Windows是目前使用最广的操作系统，同时 注册表是Microsoft Windows操作系统的核心 ，它 也是众多恶意软件的攻击对象。目前，入侵检测的技术可以 实质上是一个庞大的数据库，存放了关于计算机硬件的全 [1] 部配置信息、系统和应用软件的初始化信息、应用软件和 分为特征检测和异常检测 。特征检测利用恶意代码的某种 特征(一般是代码特征)检测系统活动是否异常，对已知恶意 文档文件的关联关系、硬件设备的说明以及各种状态信息 程序的检测准确率高，但不能防止未知的恶意程序；异常检 和数据，包括Windows系统操作时不断引用的信息。例如： 测则建立程序正常的行为模型，如果当前程序的行为违反该 系统中的硬件资源、硬件信息、分配正在使用的端口、每 模型则可能为恶意行为，异常检测不依赖于恶意程序的特征， 个用户的配置文件、计算机上安装的应用程序以及每个应 在检测未知恶意程序上更有优势。 用程序可以创建的文档类型等。注册表以树形结构组织，其 使用异常检测的方法首先需要建立程序的正常行为模 中的每一项称为一个键，对应的值成为键值。五个根键及 型，建模的数据来源很广泛，可以是文件系统的访问数据、设 对应的功能如下： 备的使用情况、网络通信流量等等，本文将引入一种基于 —HKEY_LOCAL_MACHINE：该子树存放包括有 Win