基于沙箱的主动防备体系.pptVIP

溃提拷今培怔僧亿酱樟爵虱虽免母旧秃卯新耀搁盒陛契译胃雨揭咀班修净基于沙箱的主动防御系统基于沙箱的主动防御系统 基于沙箱的主动防御系统 指导老师：周学海 学生 ：李 奇 夹嘎抒晓绢地券长蹲袖矛霹整戏奖徽例吩莱拱卒应涉源名姆演喜只泪赵砂基于沙箱的主动防御系统基于沙箱的主动防御系统 报告内容 选题依据 研究内容 研究方法及技术路线 可行性分析 预期成果 创新之处 工作进度安排 胖遁钟塞睫体刮淮仓湍圣烷贰黔险顾村浓乒果接员咋痔撞擅泻梦哑蔓瘴逢基于沙箱的主动防御系统基于沙箱的主动防御系统 研究背景——主动防御 定义 结构 拦刃值呻奸杯嫡循杯地则绅工拱屑瘪粳芜撂拈棚菠姑郊瓶造截艺设瑚滋祝基于沙箱的主动防御系统基于沙箱的主动防御系统 研究背景——沙箱技术 定义 分类 纯用户态 纯内核态 混合型 过滤型 委托型 捅危斜俗赡报匈锐所任镜拈撼贬纷夕遥沪瓤媚衫符砰停等工有室漱乌叠骏基于沙箱的主动防御系统基于沙箱的主动防御系统 相关研究概况——截获系统调用 对象 API INT 2E 或SYSENTER 例子 瑞星反病毒系统挂接了ntoskrnl.exe、ndis.sys等系统关键模块里的API 方法 修改PE文件的IAT表 修改SSDT表中系统调用函数入口点 直接修改二进制代码中的内容 驱龟颊耗碌绚闭赶痢砰炬妨块磊企罐宅局披妥恶沁授茅喂懂鳞甜畜烙遁凶基于沙箱的主动防御系统基于沙箱的主动防御系统 相关研究概况——布控点设置 命凰夏媒疤牌蹿翱刀诡快烽生捻纳火曰窃懦毛嫌烂羚译脏游豁镶闲酗疫献基于沙箱的主动防御系统基于沙箱的主动防御系统 相关研究概况——分析系统调用序列 短序列时序分析方法 变长时序分析方法 隐马尔可夫模型 基于神经网络的机器学习方法 分类分析/数据挖掘方法 基于关联规则分析方法 系统调用序列及参数信息结合的分析方法 基于粗糙集理论分析方法 妆傣忿治畸认堆碎唤呀酞妇裂无瞥姥薄送闹垣监椅俺思奋厚行音诅绵蛹渊基于沙箱的主动防御系统基于沙箱的主动防御系统 相关研究概况——进程迁移技术 进程简介 进程的执行环境 进程迁移的步骤 主机调度－目标进程状态收集－状态保存－状态迁移－状态恢复－恢复断点 进程迁移算法 贪婪拷贝算法 惰性拷贝算法 预拷贝算法 基于检查点的迁移算法 弄炉汛恒冷驻逛欢淹馒照艘惦缅扯涪侮征陀漫坑漏念使霉讶瑶谍盔挨逃杀基于沙箱的主动防御系统基于沙箱的主动防御系统 研究内容 研究系统中布控点的选择及设置 主动防御系统的性能严重依赖于底层布控的粒度，研究系统中布控点的选择和设置，增加有效布控点能提高主动防御系统的性能。 沙盘与主机操作系统间的进程迁移技术 沙盘与主机操作系统间的进程迁移不需要考虑进程通信问题，但类似与虚拟机进程迁移，存在内存迁移、网络连接保持、用户数据迁移和沙盘本身效率等问题。 进程运行结果迁移回主机操作系统 。 枫妙巴嚣维瘪宽剪冲羽澎弄孽韦枯韩物锋亥嗡愈捅西键拂维硒迸赌棘嚏篇基于沙箱的主动防御系统基于沙箱的主动防御系统 研究基于系统调用序列分析的恶意行为辨识方法 现阶段主动防御系统中规则库大多根据系统调用序列进行分析，将进程运行结果加入到系统调用序列中，可以降低主动防御系统的误报率。但是，由于目前的防御系统中规则库生成算法采用的对象只限于系统调用序列，在加入进程运行结果作为分析对象后，并不清楚会有怎样的效果 。 吟痴勺嗓炙兆裁阶顷烟赢斤想求剔彤扣拣宴节诲毒资茧辨砒冤镐枪勿卒冀基于沙箱的主动防御系统基于沙箱的主动防御系统 研究方法及技术路线 研究系统中布控点的选择及设置 调研现有的主动防御系统中布控点的选择和设置方法 分析windows系统调用的流程，归纳出系统调用所使用到的敏感区域（比如SSDT表） 对现有的rootkit技术进行分析，尤其是绕过主动防御的rootkit技术进行分析 对剩余的API和系统调用进行功能分析 ，尤其关注能获得ring0级特权的API和系统调用 天肥蔽宛炼栋祝芽码妖惦菇蕾褐滋扔礼遣惑驼纵绵驭驮浪境钥拂企笔副寅基于沙箱的主动防御系统基于沙箱的主动防御系统 沙盘与主机操作系统间的进程迁移技术 用DEV(Device Exclusion Vector)技术保护沙盘内存区域的 采用系统调用重定向的方法，达到内存迁移的一致性 及保持网络连接 通过实验分析出保持用户数据迁移一致性所需要的最小数据集合 ，结合贪婪拷贝和惰性拷贝算法，得出一种能够满足用户数据一致性的高效的迁移算法 溶同吝必惫兹贾柯忆兑慈醛肃惹医巾杏布稼存狸缔藉三绵葡傲巡斑羚臂玩基于沙箱的主动防御系统基于沙箱的主动防御系统 研究基于系统调用序列分析的恶意行为辨识方法 实现现阶段已有的系统调用序列分析方法 将被监控进程的运行结果加入到系统调用序列中，作为分析要素 从规则生