基于沙箱的主动防御系统.ppt

基于沙箱的主动防御系统,指导老师：周学海学生：李奇,报告内容,选题依据研究内容研究方法和技术路线可行性分析预期成果创新之处工作进度安排,研究背景主动防御,定义结构,研究背景沙箱技术,定义分类纯用户态纯内核态混合型过滤型委托型,相关研究概况截获系统调用,对象APIINT2E或SYSENTER例子瑞星反病毒系统挂接了ntoskrnl.exe、ndis.sys等系统关键模块里的API方法修改PE文件的IAT表修改SSDT表中系统调用函数入口点直接修改二进制代码中的内容,相关研究概况布控点设置,相关研究概况分析系统调用序列,短序列时序分析方法变长时序分析方法隐马尔可夫模型基于神经网络的机器学习方法分类分析/数据挖掘方法基于关联规则分析方法系统调用序列和参数信息结合的分析方法基于粗糙集理论分析方法,相关研究概况进程迁移技术,进程简介进程的执行环境进程迁移的步骤主机调度>目标进程状态收集>状态保存>状态迁移>状态恢复>恢复断点进程迁移算法贪婪拷贝算法惰性拷贝算法预拷贝算法基于检查点的迁移算法,研究内容,研究系统中布控点的选择和设置主动防御系统的性能严重依赖于底层布控的粒度，研究系统中布控点的选择和设置，增加有效布控点能提高主动防御系统的性能。沙盘与主机操作系统间的进程迁移技术沙盘与主机操作系统间的进程迁移不需要考虑进程通信问题，但类似与虚拟机进程迁移，存在内存迁移、网络连接保持、用户数据迁移和沙盘本身效率等问题。进程运行结果迁移回主机操作系统。,研究基于系统调用序列分析的恶意行为辨识方法现阶段主动防御系统中规则库大多根据系统调用序列进行分析，将进程运行结果加入到系统调用序列中，可以降低主动防御系统的误报率。但是，由于目前的防御系统中规则库生成算法采用的对象只限于系统调用序列，在加入进程运行结果作为分析对象后，并不清楚会有怎样的效果。,研究方法和技术路线,研究系统中布控点的选择和设置调研现有的主动防御系统中布控点的选择和设置方法分析windows系统调用的流程，归纳出系统调用所使用到的敏感区域（比如SSDT表）对现有的rootkit技术进行分析，尤其是绕过主动防御的rootkit技术进行分析对剩余的API和系统调用进行功能分析，尤其关注能获得ring0级特权的API和系统调用,沙盘与主机操作系统间的进程迁移技术用DEV(DeviceExclusionVector)技术保护沙盘内存区域的采用系统调用重定向的方法，达到内存迁移的一致性和保持网络连接通过实验分析出保持用户数据迁移一致性所需要的最小数据集合，结合贪婪拷贝和惰性拷贝算法，得出一种能够满足用户数据一致性的高效的迁移算法,研究基于系统调用序列分析的恶意行为辨识方法实现现阶段已有的系统调用序列分析方法将被监控进程的运行结果加入到系统调用序列中，作为分析要素从规则生成时间、误报率、识别率等方面进行量化评估,预期研究成果,研究windows安全体系，通过对系统调用功能和API的分析，得到更全面的布控点方案。研究沙盘与主机操作系统间进程迁移技术，使进程可以在沙盘和主机操作系统间迁移。将进程运行的中间结果和最终结果加入到系统调用序列作为分析对象，对比现有的系统调用序列分析方法，得到较为有效的算法。发表论文1-2篇，完成相关毕业论文,创新之处,将沙盘技术应用于主动防御系统中，使主动防御系统监控的进程运行受到沙盘限制，进一步保护了主机操作系统。将进程迁移技术引入沙盘，使沙盘可以随时从主机操作系统中接管进程，增加了系统的安全性和沙盘的应用范围。将进程运行结果作为因素加入到进程行为序列分析中，使主动防御的误报率降低。,工作安排,2007.92008.1：相关文献资料整理，进行针对性调研；2008.22008.6：对调研的内容进行总结，提出一个整合性解决方案2008.62008.12：对方案进行分析和评估，完成demo2009.22009.5：撰写硕士学位论文,谢谢,