高速分布式拒绝服务攻击的防御跟网络数据流特征提取跟运用的研究探究.pptVIP

五、工作进度安排 2007.8～2007.10，完成调研、开题 2007.11，基于难点问题继续调研相关的研究工作 2007.12～2008.3，完成通用脱壳器的设计与实现 2008.4～2008.6，完成恶意行为特征分析的设计与实现，实现行为特征码的自动提取 2007.8～2008.8，研究并优化恶意行为特征码的提取及检测算法 2008.9～2008.10，整合系统平台，测试 2008.11～，撰写论文，准备答辩 欢迎老师同学们批评指正谢谢！ * * 选题背景（需求分析） 相关研究综述（别人做了哪些，还有哪些不足） 研究目标（我要解决的问题分析） 研究方案（我打算怎样解决上面的问题） … 选题的项目支持 工作进度安排 * * * * * * * * * * * * * * * * * * * * * * * * * * * * 导师：段海新 副教授 硕士生：姜晓新 * 目 录 选题背景 相关研究综述 研究目标 研究内容和研究方案 工作进度安排 一、选题背景 恶意代码的基本定义及其危害 未经授权，干扰计算机系统/网络的程序或代码 近30年来，恶意代码技术突飞猛进、数量急剧增加，传播越来越快，已成为当代信息社会的致命杀手 恶意代码分析检测技术 反编译、虚拟机、断点跟踪、虚拟执行、蜜罐…… 特征扫描、启发式扫描、实时监控、主动防御…… 一、选题背景 需求分析 恶意代码技术迅猛发展，传统的人工分析方法难以招架 通用、先进、高效的恶意代码分析平台实现恶意代码静态分析、动态分析和网络分析的自动化 本课题旨在研究恶意代码技术和通用的恶意代码静态分析技术 二、相关研究综述 恶意代码技术发展现状 传统的恶意代码扫描技术 基于行为特征的检测技术 虚拟执行技术和反虚拟执行技术 反汇编技术和反反汇编技术 启发式分析技术 主动防御技术 1、恶意代码技术发展现状 内存驻留 进入系统核心态 隐藏 加壳 多态 变形 病毒机和变形工具 2、传统的恶意代码扫描技术 恶意代码特征码库＋扫描引擎 恶意代码的特征码：特征串和特征字 可实现恶意代码的精确匹配 复杂的多态、变形恶意代码？ E800 0000 005B 8D4B 4251 5050 0F01 4C24 FF5B 83C3 1CFA 8B2B PE文件 特征码 3、基于行为特征的静态检测技术 将恶意代码的行为特点量化为特征码/向量 Windows系统，用户层不能直接操作系统资源，核心层通过API向用户层提供服务 反汇编得到完整的API调用序列。检测应用程序调用API情况，判定行为特征 关键点：恶意行为特征码库、相似度比较算法（欧式距离，Jaccard扩展余弦，Pearson相似度算法等） CALL2180+5+0195＝2326 JMP DWORD PTR DS: [004040C4] Import Address Table (IAT) 3、基于行为特征的静态检测技术 4、虚拟执行技术 又称代码仿真（code emulation）,虚拟CPU，通用脱壳器等 使用虚拟执行技术可对恶意代码的脱壳模块进行解释执行，得到脱壳后的恶意代码 脱壳后的恶意代码一般稳定不变，仍可使用特征码进行扫描 单步和断点跟踪法要求恶意代码真实执行，不完全可控，一般用于人工分析，无法实现自动分析 for (i=0;i0x100;i++) //首先虚拟执行256条指令试图发现病毒循环解密子 { if (InstLoc=0x280) return(0); if (InstLoc+ProgSeekOff=ProgEndOff) return(0); //以上两条判断语句检查指令位置的合法性 saveinstloc(); //存储当前指令在指令缓冲区中的偏移 HasAddNewInst=0; if (!(j=parse())) //虚拟执行指令缓冲区中的一条指令 return(0); //遇到不认识的指令时退出循环 if (j==2) //返回值为2说明发现了解密循环 break; } if (i==0x100) return(0); //执行过256条指令后仍未发现循环则退出 if (!EncodeInst()) //调用解密函数重复执行循环解密过程 { ...... } 4、虚拟执行技术 5、反虚拟执行技术 插入特殊指令。3DNOW，MMX等特殊的或未公开的指令。 结构化异常处理。在恶意代码启动前预先设置自己的异常处理函数，程序故意引发一个异常，虚拟执行时发现非法指令而停止工作 入口点