基于沙箱的主动防御系统

基于沙箱的主动防御系统指导老师：周学海学生：李奇报告内容选题依据研究内容研究方法和技术路线可行性分析预期成果创新之处工作进度安排研究背景——主动防御定义结构研究背景——沙箱技术定义分类–纯用户态–纯内核态–混合型过滤型委托型相关研究概况——截获系统调用对象–API–INT2E或SYSENTER例子–瑞星反病毒系统挂接了ntoskrnl.exe、ndis.sys等系统关键模块里的API方法–修改PE文件的IAT表–修改SSDT表中系统调用函数入口点–直接修改二进制代码中的内容相关研究概况——布控点设置相关研究概况——分析系统调用序列短序列时序分析方法变长时序分析方法隐马尔可夫模型基于神经网络的机器学习方法分类分析/数据挖掘方法基于关联规则分析方法系统调用序列和参数信息结合的分析方法基于粗糙集理论分析方法相关研究概况——进程迁移技术进程简介进程的执行环境进程迁移的步骤–主机调度－目标进程状态收集－状态保存－状态迁移－状态恢复－恢复断点进程迁移算法–贪婪拷贝算法–惰性拷贝算法–预拷贝算法–基于检查点的迁移算法研究内容研究系统中布控点的选择和设置–主动防御系统的性能严重依赖于底层布控的粒度，研究系统中布控点的选择和设置，增加有效布控点能提高主动防御系统的性能。沙盘与主机操作系统间的进程迁移技术–沙盘与主机操作系统间的进程迁移不需要考虑进程通信问题，但类似与虚拟机进程迁移，存在内存迁移、网络连接保持、用户数据迁移和沙盘本身效率等问题。–进程运行结果迁移回主机操作系统。研究基于系统调用序列分析的恶意行为辨识方法–现阶段主动防御系统中规则库大多根据系统调用序列进行分析，将进程运行结果加入到系统调用序列中，可以降低主动防御系统的误报率。但是，由于目前的防御系统中规则库生成算法采用的对象只限于系统调用序列，在加入进程运行结果作为分析对象后，并不清楚会有怎样的效果。研究方法和技术路线研究系统中布控点的选择和设置–调研现有的主动防御系统中布控点的选择和设置方法–分析windows系统调用的流程，归纳出系统调用所使用到的敏感区域（比如SSDT表）–对现有的rootkit技术进行分析，尤其是绕过主动防御的rootkit技术进行分析–对剩余的API和系统调用进行功能分析，尤其关注能获得ring0级特权的API和系统调用沙盘与主机操作系统间的进程迁移技术–用DEV(DeviceExclusionVector)技术保护沙盘内存区域的–采用系统调用重定向的方法，达到内存迁移的一致性和保持网络连接–通过实验分析出保持用户数据迁移一致性所需要的最小数据集合，结合贪婪拷贝和惰性拷贝算法，得出一种能够满足用户数据一致性的高效的迁移算法研究基于系统调用序列分析的恶意行为辨识方法–实现现阶段已有的系统调用序列分析方法–将被监控进程的运行结果加入到系统调用序列中，作为分析要素–从规则生成时间、误报率、识别率等方面进行量化评估行为分析模块文件访问规则库进程启动规则库注册表访问规则库系统行为规则库特殊行为规则库布控模块文件监控网络监控进程监控关键内存区域监控其他特殊系统调用监控注册表等敏感区域监控行为分析引擎进程管理模块进程信息管理模块沙盘进程管理模块进程迁移引擎监控引擎预期研究成果研究windows安全体系，通过对系统调用功能和API的分析，得到更全面的布控点方案。研究沙盘与主机操作系统间进程迁移技术，使进程可以在沙盘和主机操作系统间迁移。将进程运行的中间结果和最终结果加入到系统调用序列作为分析对象，对比现有的系统调用序列分析方法，得到较为有效的算法。发表论文1-2篇，完成相关毕业论文创新之处将沙盘技术应用于主动防御系统中，使主动防御系统监控的进程运行受到沙盘限制，进一步保护了主机操作系统。将进程迁移技术引入沙盘，使沙盘可以随时从主机操作系统中接管进程，增加了系统的安全性和沙盘的应用范围。将进程运行结果作为因素加入到进程行为序列分析中，使主动防御的误报率降低。工作安排2007.9－2008.1：相关文献资料整理，进行针对性调研；2008.2－2008.6：对调研的内容进行总结，提出一个整合性解决方案2008.6－2008.12：对方案进行分析和评估，完成demo2009.2－2009.5：撰写硕士学位论文谢谢