Rootkit隐藏技术与检测方法研究

近些年来,恶意代码攻击的目的由破坏炫耀向经济利益转变,因而更加注重自身的隐藏.Rootkit具有隐蔽性强、特权级高等特点,成为主机安全的严重威胁.硬件虚拟化技术出现后,Rootkit扩展到了操作系统外部,对检测技术提出了新的挑战.本文总结了近几年网络安全领域中Rootkit隐藏技术和检测技术的研究进展,分析了各自面临的问题,并基于对Rootkit隐藏技术和检测技术的分析,探讨Rootkit检测技术的发展趋势.     

Rootkit的检测与取证分析

Rootkit是目前难以检测、清除、防范和破坏性强的恶意程序。通过分析Rootkit的内核机制,给出检测Rootkit的基本方法,以应用于Rootkit防范和取证分析。     

Windows Rootkit病毒进化与检测

Rootkit作为恶意软件的一个特定类型,是近年来国内外计算机安全领域热门的研究课题。本文介绍了Windows Rootkit技术的发展,概括了常见Windows Rootkit技术实现及检测方法,并利用一些系统分析工具的分析结果来帮助大家理解这些概念。     

虚拟化环境下基于职能分离的Rootkit检测系统架构研究

针对现有虚拟化环境下Rootkit检测技术易被绕过、性能开销大的问题,提出了虚拟化环境下基于职能分离的检测系统架构XenMatrix,其在保证检测系统透明性的同时提高了自身的安全性;设计了检测频率的自适应调整策略,实现了Rootkit检测频率的动态调整,有效降低了系统的性能开销。最后对实验结果的分析表明,相比现有检测技术,该原型系统能够有效检测Rookit,具有较高的检测率和较低的性能开销。     

BIOS Rootkit的实现技术

现在BIOS芯片被恶意刷写进BIOS Rootkit的可能性越来越大。本文对BIOS Rootkit的基本概念、组成模块和危害特性进行阐述,同时详细介绍BIOS Rootkit的实现技术,并建议尽快建立相应的安全标准,以避免或减少BIOS Rootkit的攻击。     

虚拟化环境中基于神经网络专家系统的Rootkit检测方法研究

针对现有虚拟化环境客户操作系统中对Rootkit检测存在误判率高、无法检测未知Rootkit等问题,提出了一种基于神经网络专家系统的Rootkit检测方法(QPSO_BP_ES)。该方法将神经网络与专家系统相结合,利用其各自的优势构成检测系统。在实际检测时,首先捕获事先选取出来的Rootkit典型特征行为,然后通过训练好的神经网络专家系统来检测客户操作系统中是否存在Rootkit。最后通过实验表明,QPSO_BP_ES检测系统模型可以降低误判率,有效地检测已知和未知的Rootkit。     

基于VMM的Rootkit及其检测技术研究

借助虚拟化技术,Rootkit隐藏能力得到极大提升,基于VMM的Rootkit的研究成为主机安全领域的热点。总结了传统Rootkit的隐藏方法和技术瓶颈,介绍了VMM的自身优势和软、硬件实现方法,分析了不同VMM Rootkit的设计原理和运行机制。针对VMM存在性检测的不足,阐述了一种新的VMM恶意性检测思路,同时讨论了 VMM Rootkit的演化方向,并从防护的角度提出了一些安全使用虚拟化技术的建议。     

基于WindowsAPI调用机制的Rootkit检测系统的设计与研究

从功能上来看,Rootkit是指隐藏进程、网络端口、文件痕迹等的恶意软件,现已被广泛应用在黑客入侵和攻击他人的计算机系统上。许多计算机病毒、间谍软件也都常常使用Rootkit潜伏在操作系统上伺机而动。如何有效地对Rootkit进行检测和防范成为应对木马入侵和僵尸网络的首要解决的关键问题。文章在以往的研究基础上,通过深入探讨Windows底层原理,开发了一个基于WindowsAPI调用机制的Rootkit检测系统。在该系统的帮助下,用户不但可以深入查看操作系统的各类底层信息,还可以很方便地找出隐藏在计算机之中的病毒、木马并进行清理,从而更好地保护操作系统。该系统丰富了现今针对Rootkit检测的研究成果,对后续的研究具有一定的参考价值。     

Rootkit特征与检测

目前还没有对检测危害计算机系统安全的Rootkit形成一种标准化的方法。当前检测Rootkit的方法也很有限。本文详细介绍了Rootkit的原理和现有检测Rootkit工具的工作机制。并且针对一些典型Rootkit给出了检测结果。     

基于虚拟机的 Rootkit 检测系统

内核级 Rootkit 位于操作系统核心层,可以篡改内核地址空间的任意数据,对系统安全构成了巨大的威胁.目前基于虚拟机的 Rootkit 方面应用大都偏重于完整性保护,未对 Rootkit 的攻击手段和方式进行检测识别.文中在虚拟机框架下,提出了一种新型的 Rootkit 检测系统 VDR,VDR 通过行为分析可有效识别 Rootkit 的攻击位置方式,并自我更新免疫该Rootkit 的再次攻击.实验表明,VDR 对已知 Rootkit 的检测和未知 Rootkit 的识别均有良好效果,能迅速给出攻击信息,为系统安全管理带来很大方便.     

工作流管理系统监控粒度划分机制研究

监控是一种系统级权限,而各基层骨干无权对系统进行细粒度的监控。该限制使得监控功能在组织中的作用范围大大降低。针对此需求,提出了深入到流程级、最小粒度达到活动级的流程监控机制。     

细粒度显式并行体系结构微处理器设计

文章在分析微处理器体系结构发展的基础上,利用文献[1]提出的显式硬件单元控制EHCC技术,设计了一个细粒度显式并行计算微处理器模型。仿真结果表明细粒度显式并行计算将是微处理器体系结构发展的理想方向。     

基于严凸函数的知识粒度与相对粒度

首次将严凸函数引入知识粒度研究中,提出基于严凸函数的知识粒度理论框架。根据该理论框架,给出一系列知识粒度度量函数,证明现有多种常见的知识粒度度量是该理论框架的特殊情形或变种。给出基于严凸函数的相对粒度定义,虽然对任意严凸函数导出的相对粒度不满足单调性,但对一些特殊严凸函数导出的相对粒度证明其单调性,并给出等号成立的条件。证明现有条件信息熵都是文中提出的严凸函数相对粒度的特殊情形,揭示它们的知识粒度本质。针对一致决策表,证明相对粒度与正区域不变等价,从而得到一致决策表代数约简的相对粒度判定方法。数值算例验证文中结论的正确性。     

Android课程多粒度目标实验项目设计研究

Android是谷歌研发的新一代操作系统,在手机等移动设备中被广泛使用,是目前使用占有率最高的智能手机操作系统。 Android系统结构较为复杂,开发环境与普通Windows下的应用程序开发有其特殊之处,在进行课程实验项目的设计过程中必须考虑到这些要素。由于学生能力的差异,需要根据学生特点因材施教进行实验设计。根据学生的不同能力,设计具有伸缩性的不同粒度的实验内容,满足不同程度的需求。     

基于下近似分布粒度熵的变精度悲观多粒度粗糙集粒度约简

将下近似分布约简引入变精度悲观多粒度粗糙集,定义了变精度悲观多粒度粗糙集的下近似分布粒度熵,基于下近似分布粒度熵定义了变精度悲观多粒度粗糙集粒度的重要度,并设计了基于下近似分布粒度熵的悲观多粒度粗糙集启发式粒度约简算法,通过实例验证了算法的有效性。     

驱动层键盘截获的设计与实现

文章通过对键盘截获技术的一种设计实现方式,在技术层面上对WINDOWS操作系统的驱动层进行了简单的分析。由于现在ROOTKIT技术的飞速发展,对安全领域的技术需求也不断提升。对ROOTKIT技术的了解有助于我们更好的研究和防范一些恶意工具对计算机的侵害。     

海云创新试验环境管控与服务系统总体设计

资源管控与服务系统是海云创新试验环境的神经中枢和纽带.本文提出创新试验环境管控与服务系统的总体架构、协议与标准,指导创新试验环境的设计与实现.在此基础上开展系统的框架和功能设计,研究资源管理控制技术、试验服务技术、测量及联邦技术,实现试验环境的动态集成、管理与实时监控、试验活动的自适应资源分配与运行调度、试验过程的多维多粒度、全程全息测量等,从而为试验用户提供可管可控可测的综合试验服务与开发环境,提供公共资源与服务,动态集成、演示和评估专项研发成果,交互式地支撑专项创新工作.     

数字家庭远程控制系统设计与实现

远程控制系统是数字家庭系统的重要组成部分,本文给出了在IPv4网络环境下数字家庭远程控制系统的设计和实现方案,并对远程控制协议进行了详细说明。     

交通监控系统的设计和实现

从设计角度讨论了交通监控系统，阐述了其硬件构成，软件功能，以及设计思想，并简介了利用线程提高系统实时性的方法。     

一种智能交通信号控制机的设计与实现

该系统采用了“绿冲突”和备用方案的容错控制方式。即使主控部件出现故障,信号机仍可以按备选方案工作。为了便于与上位控制机连接,信号机提供了多种通信方式和“线控”功能。基于车流量检测,提出了信号机的智能控制方案。实际应用结果表明,新型的智能交通信号机系统性能稳定可靠,功能较强,便于实现“绿波带”控制和交通网络协调控制。