现基于行为监测的Anti-RBootkit的研究与实现.pptVIP

在未知R/Bootkit的评估中，BD相比去其他的防护系统具有相对最低的虚报率。 * 本次毕业设计的工作在于 1.总结出Bootkti/Rootkit恶意进驻内核行为特征 2.为了统一、规范、完备的描述行为特征提出了形式化描述语言规范 3.为了验证基于行为特征监测思路的有效性，设计与实现了基于而已进驻内核行为特征的Anti-R/Bootkit原型系统 而本次毕业设需要进一步完善的地方在于： 1.完善形式化描述语言的词法分析、语法分析和语义定义部分 2.拓展底层布控模块的布控深度和广度、加入自我保护功能等 * 这是本人在上研期间参与的项目以及发表的论文。 . */28 已知R/Bootkit评估 漏报率低(左边绿色图为BD) %0 %33 %66 %100 BD Avast 360 卡巴 狙剑 %0 %50 %66 %33 %0 . */28 已知R/Bootkit评估 虚报率低(左边绿色图为BD) %0 %33 %66 %100 BD Avast 360 卡巴 狙剑 %0 %22 %17 %45 %36 . */28 非R/Bootkit评估 虚报率较低(左边绿色图为BD) %0 %33 %66 %100 BD Avast 360 卡巴 狙剑 %33 %0 %68 %0 %80 . */28 未知R/Bootkit评估 漏报率低(左边绿色图为BD) %0 %33 %66 %100 BD Avast 360 卡巴 狙剑 %0 %80 %80 %60 %0 . */28 未知R/Bootkit评估 虚报率低(左边绿色图为BD) %0 %33 %66 %100 BD Avast 360 卡巴 狙剑 %0 %0 %0 %0 %33 . */28 总结与展望 总结 总结出Bootkti/Rootkit恶意进驻内核行为特征 提出了形式化描述语言规范 设计与实现了基于恶意进驻内核行为特征的Anti-R/Bootkit原型系统 展望 完善形式化描述语言的词法分析、语法分析和语义定义部分 拓展底层布控模块的布控深度和广度、加入自我保护功能等 . */28 在读期间发表的学术论文与取得的研究成果 参与的项目： 2006.6~2007.1 基于公网的P2P视频点播系统，负责架构设计。 2007.9~2008.6 红色5号信息安全产品，负责后续研发。 2008.6~2009.6 操作系统安全加固软件研发及产业化，电子信息产业发展基金（操作系统安全加固软件研发及产业化，文号：财建[2008]329，工信部运[2008]97）, 作为组长负责Windows平台下安全框架。 发表的论文： 李月锋，周学海。 《基于PBD技术的Anti-Bookit优先启动研究》，计算机系统应用。（已录用） . */28 谢谢 Thanks for appreciation! * 本次答辩的内容主要是介绍恶意程序、恶意代码、Rootkit、Bootkit的概念和彼此间的关系以及危害原理，接着分析前置式的恶意代码扫描检测技术的原理与不足，以及当前主流的后置式的主动防御技术的不足，提出了基于行为特征监测的设计需求。 后一节则总结典型R/Bootkit的行为特征，并且为了统一、规范、完备描述该行为特征而定义和设计了形式化描述语言。 再后一节则介绍了为验证基于行为监测的Anti-R/Bootkit思路的有效性而提出的方案设计，并且通过实际评估给出评估结果。 最后一节本文工作进行了总结和展望。 在Internet安全事件中，恶意软件/代码造成的危害最为严重。 恶意软件(Maleware)是非用户期望运行的、怀有恶意目的或完成恶意功能的完整的程序集合[32] [33] [34]。恶意代码(Malicious Code)含是指用于描述完成特定恶意功能的代码片段。 作为当前新型的恶意软件的代表的Rootkit，用于实现自身及系统中特定资源和活动的隐藏，破坏可信任计算机的完整性 。 Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展形式。 Bootkit通过感染可引导的外设固件和关键系统文件，驻留在整个系统的启动过程，获取系统控制底层权限并且擦除自我存在痕迹，从而为网络恶意代码的进一步攻击行为提供隐蔽、可靠、持久的执行环境。 传统的针对恶意软件的防护系统，一般都没有跳出感染-检测-清除的后置式的对抗思路的范畴。因为只有等到恶意代码已经植入并且感染了系统或者应用程序之后，才可能发现并且根据感染痕迹清除恶意代码。 由于扫描检测类防护系统工作时往往已经由于恶意软件的成功感染已经失去了本身以及系统程序的可信任的执行环境，以及原本的处于Ring0高特权级别的扫描检测优势，因此 1.扫描检测的有效性往往无法