安全检测引擎的设计与实现-软件工程专业论文.docxVIP

第 第 PAGE IV 页 目 录 摘要 I Abstract II 第一章 绪论 1 1.1 课题背景与意义 1 1.2 研究内容及论文组织 2 第二章 关于安全检测研究 3 2.1 安全威胁 3 2.2 恶意代码 4 2.2.1 恶意代码定义 4 2.2.2 恶意代码检测技术 5 2.3 入侵检测 8 2.3.1 入侵检测概述 8 2.3.2 入侵检测系统 9 2.4 小结 11 第三章 基于行为的检测方法 13 3.1 关于系统调用的研究 13 3.2 基于系统调用的分析方法 16 3.2.1 枚举序列方法 18 3.2.2 KNN 法 18 3.2.3 数据挖掘分类法 20 3.2.4 HMM 模型法 20 3.2.5 时空分析法 21 3.2.6 检测方法总结 22 3.3 小结 23 第四章 系统的总体设计 24 4.1 系统设计目标 24 4.2 系统设计方案 24 4.2 系统结构 26 4.3 小结 27 第五章 系统的详细设计 28 5.1 特征提取模块 28 5.2 分析检测模块 31 5.2.1 基于时态的检测模块 31 5.2.2 基于空间的检测模块 39 5.3 实验结果与分析 44 5.4 小结 51 第六章 总结与展望 52 参考文献 53 致谢 56 攻读硕士期间已发表论文 57 第 第 PAGE 10 页 第一章 绪论 1.1 课题背景与意义 随着计算机技术和互联网的飞速发展与普及，人们的工作方式和生活方式不断 变化，计算机和网络正逐渐成为现代社会的最重要的组成部分，但是许多潜在的信 息安全问题也随之越来越严重，安全威胁日益增多。病毒（Virus）、蠕虫（Worm）、 木马（Trojan Horse）、间谍软件（Spyware）等恶意攻击程序在网络上的传播活动 日趋频繁，所采用的技术手段不断发展进化，给人们带来了非常大的威胁。据国家 计算机应急处理中心统计，2007 年，我国接入互联网的计算机中被植入木马的计算 机达到了 91.47%，被植入三种以上恶意木马程序的占 53.64%，其中 87%以上是以盗 窃或远程控制计算机为目的的木马程序，即我国每 10 台接入网络的计算机中有 8 台 曾受到黑客的控制。另外，根据国家计算机网络应急技术处理协调中心(CNCERT)监 测，全世界被控的僵尸网络有 71%位于我国，我国每周新增被控计算机数量超过 30 万台的僵尸网络约 10 个左右。2008年1 月到6 月国家计算机网络应急技术处理协调 中心(CNCERT)共捕获木马、恶意程序等恶意代码样本 898605 个，平均每日捕获 4943 个，这其中不重复的恶意代码新样本总数达 88581 个，平均每日捕获 490 个。此外， [1] 通过国内外合作途径捕获恶意代码样本 496127 个，平均每日 2719 个 。据公安部 统计，2009 年，全国各地共侦破非法获取数据案、提供黑客工具案等新型黑客攻击 [2] 案件 476 起，抓获违法犯罪人员 1057 名 。 黑客攻击的动机已经从单纯地追求“荣耀感”逐渐转变为获取多方面的实际利 益。而且不只是恶意代码，其他的安全威胁因素与攻击手段日益增多，对抗黑客利 用网络和系统的众多漏洞进行多方位攻击的技术已成为当今世界必须研究的热点问 题。由于很多政治情绪的方向转移，黑客攻击技术的发展也将重点放在网络木马、 间谍程序、恶意网站、网络仿冒、僵尸网络等。安全问题变得更加复杂，涉及范围 不断增大，带来的损失日趋严重。安全保障有很多方面，在防御方面，一般有防火 墙，另外，一些处理器本身在安全方面有优越性能，比如基于 PowerPC 的 MPC8560 处理器可根据工作需要关闭外设与 I/O，不仅降低能耗，而且可提供整机环境状态、 工作状态和故障诊断等信息的数据，可以自动或者程控实现报警与安全保护等功能， 因此可利用这类处理器构建一个具有安全防御功能的系统。在检测方面，现阶段主 流的技术就是入侵检测技术，对于信息安全的检测技术是安全保障的一大重要支柱， 是目前业界需要研究并提高的技术，对其深入研究具有非常重要的现实意义。 1.2 研究内容及论文组织 本文旨在研究安全检测技术，主要针对入侵检测进行了研究。通过研究选择适 合的检测特征值作为检测的依据，适应不断发展的恶意程序与其他的入侵手段，针 对提高检测率与降低误报率的检测方法进行研究并设计入侵检测系统。 论文共分为六章，各章的主要内容分别是： 第一章是“绪论”，分析论文的课题背景，提出论文的研究意义和研究内容，并 介绍了论文的组织结构。 第二章介绍关于安全检测的一些知识，包括现