一种主动防御可执行恶意代码的方法及其实现

摘要

随着互联网技术应用的迅速发展，网络与信息安全问题，尤其是来自终端的网络安全问题，日益成为威胁互联网健康发展的因素。在对终端的各种危害之中，可执行恶意代码引起的安全问题尤为突出。本文通过对传统的防御可执行恶意代码的各种机制进行分析与比较，指出被动的防御手段已经不能满足当前安全防御实际的需要。在此基础上，本文提出一个在终端系统构建可执行恶意代码的主动防御体系的解决方案。 在充分了解可执行恶意代码传播机理的基础上，本文结合安全操作系统的访问控制和身份验证原则，使用USBKey设备验证用户身份，以进程为核心，为防御可执行恶意代码设计了URPP(User-Role-Process-Permission)访问控制模型。其中对进程的控制是防御可执行恶意代码的关键问题。 在对各种实现进程控制的解决方案分析的基础之上，本文选用了在内核层采用hook技术控制进程的方案，并对进程的相关文件进行可信度量，确保进程运行过程可信，达到主动防御可执行恶意代码的目的。 为验证模型和方法的有效性，本文在Windows环境下实现了设计方案，通过对防御系统的测试，分析了防御系统的优势和不足，并指出了下一步需要完善的工作。

目录

文摘

英文文摘

声明

致谢

1绪论

1.1研究背景

1.2研究现状

1.3研究内容

1.4本文的组织结构

2可执行恶意代码的机理及传统防御手段的分析

2.1普通计算机病毒的机理

2.2蠕虫病毒的机理

2.3特洛伊木马的机理

2.4脚本病毒

2.5传统防御方法的分层结构

2.6各层防护措施的不足

2.7分层防护措施的不足

2.8本章小结

3防御系统设计

3.1技术基础

3.1.1安全操作系统

3.1.2可信计算思想

3.2可执行恶意代码自我防御系统设计思想

3.2.1基于USBKey的身份验证模块

3.2.2访问控制模块

3.2.3进程控制模块

3.3本章小结

4防御体系的实现

4.1安全策略配置的实现

4.1.1常规安全配置模块

4.1.2异常安全配置模块

4.2进程控制的实现

4.2.1加载策略子过程

4.2.2进程控制子过程

4.3本章小结

5系统测试和分析

5.1系统测试

5.1.1应用层测试

5.1.2内核层测试

5.2面向各种恶意代码的系统有效性分析

5.2.1普通计算机病毒

5.2.2蠕虫病毒

5.2.3特洛伊木马

5.2.4脚本病毒

5.2.5其他局限性

5.3本章小结

6总结

6.1全文总结

6.2下一步工作

参考文献

作者简历