基于沙箱的主动防御系统.pptVIP

基于沙箱的主动防御系统指导老师：周学海学生：李奇报告内容选题依据研究内容研究方法和技术路线可行性分析预期成果创新之处工作进度安排定义结构研究背景——沙箱技术纯内核态混合型过滤型委托型纯用户态定义分类相关研究概况——截获系统调用APIINT2E或SYSENTER瑞星反病毒系统挂接了ntoskrnl.exe、ndis.sys等系统关键模块里的API对象例子修改PE文件的IAT表修改SSDT表中系统调用函数入口点直接修改二进制代码中的内容方法相关研究概况——分析系统调用序列短序列时序分析方法01变长时序分析方法02隐马尔可夫模型03基于神经网络的机器学习方法04分类分析/数据挖掘方法05基于关联规则分析方法06系统调用序列和参数信息结合的分析方法07基于粗糙集理论分析方法08进程简介进程的执行环境进程迁移的步骤主机调度－目标进程状态收集－状态保存－状态迁移－状态恢复－恢复断点进程迁移算法贪婪拷贝算法惰性拷贝算法预拷贝算法基于检查点的迁移算法研究内容主动防御系统的性能严重依赖于底层布控的粒度，研究系统中布控点的选择和设置，增加有效布控点能提高主动防御系统的性能。研究系统中布控点的选择和设置沙盘与主机操作系统间的进程迁移不需要考虑进程通信问题，但类似与虚拟机进程迁移，存在内存迁移、网络连接保持、用户数据迁移和沙盘本身效率等问题。进程运行结果迁移回主机操作系统。沙盘与主机操作系统间的进程迁移技术研究基于系统调用序列分析的恶意行为辨识方法01现阶段主动防御系统中规则库大多根据系统调用序列进行分析，将进程运行结果加入到系统调用序列中，可以降低主动防御系统的误报率。但是，由于目前的防御系统中规则库生成算法采用的对象只限于系统调用序列，在加入进程运行结果作为分析对象后，并不清楚会有怎样的效果。02研究系统中布控点的选择和设置调研现有的主动防御系统中布控点的选择和设置方法分析windows系统调用的流程，归纳出系统调用所使用到的敏感区域（比如SSDT表）对现有的rootkit技术进行分析，尤其是绕过主动防御的rootkit技术进行分析对剩余的API和系统调用进行功能分析，尤其关注能获得ring0级特权的API和系统调用用DEV(DeviceExclusionVector)技术保护沙盘内存区域的01采用系统调用重定向的方法，达到内存迁移的一致性和保持网络连接02通过实验分析出保持用户数据迁移一致性所需要的最小数据集合，结合贪婪拷贝和惰性拷贝算法，得出一种能够满足用户数据一致性的高效的迁移算法03沙盘与主机操作系统间的进程迁移技术研究基于系统调用序列分析的恶意行为辨识方法实现现阶段已有的系统调用序列分析方法将被监控进程的运行结果加入到系统调用序列中，作为分析要素从规则生成时间、误报率、识别率等方面进行量化评估单击此处添加正文。单击此处添加正文。