基于行为序列的多步主防系统的设计与实现

作     者：张曌 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：张熙

授予年度：2018年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 

主      题：主动防御 SSDT HOOK PrefixSpan算法 驱动开发 行为序列 

摘      要：随着大数据时代的到来,人们接触网络的方式越来越多,伴随着多种多样的上网渠道,计算机病毒逐步渗透到个人主机上。时至今日,病毒检测技术愈发成熟,其缺点也逐渐暴露出来,即对未知病毒的防御能力太弱,所以,主动防御技术逐渐发展起来。本文以Windows系统为平台,在搜集了大量病毒样本后,深入研究了病毒的攻击行为,以内核级驱动的形式对主机进行安全监控,并且分析了当前常用的频繁序列挖掘算法,在此基础上提出了一个更为高效的改进算法,并以此为基础生成了行为序列规则库,最终整理并提出了一套高效可行的基于行为序列的多步主防方案。具体的研究内容包括:1、对当前主动防御技术进行调研,深入分析了其核心技术,并搜集了大量的病毒样本,分析研究了病毒运行时的攻击行为,针对病毒常见的接口调用和系统敏感位置制定了系统监控点文件。研究了Windows系统的分层以及函数在系统中的调用过程,重点关注了内核函数与应用层函数的差异、内核下编程、系统服务描述符表拦截即SSDT HOOK 技术。2、制定主防序列规则文件。研究了当前主流的几种频繁序列挖掘算法,选取了 PrefixSpan算法为基础,并在此基础上针对其投影数据库量级大的不足提出了一个更为高效的改进算法,并验证了该算法的可行性和效率,取得了一定的进步。以调研的病毒样本得到序列的训练集,通过挖掘算法生成新的序列集合,并根据严苛的逻辑关系制定成行为序列规则库。3、设计并实现了多步主防方案,制定了多步主防策略。采用行为单步拦截,多步判定结果相结合的逻辑起到对行为序列的判定效果。对本文所述的行为序列进行了定义,利用内核级驱动技术对系统进行监控,对应用层的判定算法进行了逻辑上的分析和重点函数的讲解。4、选取安全程序和病毒程序作为测试样本集,与贝叶斯检测法和开源的卓然驱动级云安全主动防御共同进行检测,对测试结果进行了分析比对,就其交互界面与传统的360安全卫士进行了比对。本方案的测试结果表明,改进的PrefixSpan算法与原PrefixSpan算法相比生成的序列数量会减少,但是在运行时间上可以减少消耗,且主防系统在对文件、进程、注册表等多方面的防护上取得了很好的防护效果,达到了设计目的,能够有效防御未知病毒的攻击。