基于文件系統(tǒng)的惡意代碼監(jiān)控技術(shù)的研究.pdf

1、隨著計(jì)算機(jī)技術(shù)的快速發(fā)展和信息時(shí)代的到來,計(jì)算機(jī)系統(tǒng)的安全日益成為人們關(guān)注的焦點(diǎn)。由于蠕蟲、木馬、病毒、Rootkit、后門程序等惡意代碼的出現(xiàn)和發(fā)展,計(jì)算機(jī)系統(tǒng)的安全受到了巨大的威脅。因此,監(jiān)控、分析惡意代碼并消除惡意代碼對(duì)計(jì)算機(jī)的威脅便成為計(jì)算機(jī)安全領(lǐng)域的重要目標(biāo)。監(jiān)控技術(shù)作為惡意代碼分析的基礎(chǔ),可為惡意代碼分析提供了重要的信息和數(shù)據(jù)來源。目前監(jiān)控技術(shù)主要有:虛擬機(jī)技術(shù)和API掛鉤技術(shù)。但虛擬機(jī)技術(shù)和API掛鉤技術(shù)對(duì)于分析、調(diào)試惡意

2、代碼不夠成熟,具有一定的局限性。所以迫切需要開發(fā)高效、可靠的惡意代碼監(jiān)控系統(tǒng)。
　　本文首先闡述了該課題的選題背景以及國內(nèi)外的發(fā)展現(xiàn)狀,分析了惡意代碼的種類及其特點(diǎn)。然后介紹了當(dāng)前相關(guān)的監(jiān)控技術(shù),進(jìn)而闡述基于Linux下的惡意代碼監(jiān)控系統(tǒng)。該監(jiān)控系統(tǒng)的設(shè)計(jì)思想主要是在Linux內(nèi)核層位于虛擬文件系統(tǒng)(VirtualFilesystemSwitch,VFS)和下層真正文件系統(tǒng)之間來進(jìn)行監(jiān)控,基于VFS的原理機(jī)制,利用可加載內(nèi)核模塊(

3、LoadableKernelModule,LKM)技術(shù),通過修改VFS的函數(shù)跳轉(zhuǎn)表,截獲惡意代碼的系統(tǒng)調(diào)用,獲得所要操作的文件對(duì)象,對(duì)比惡意代碼進(jìn)程訪問權(quán)限和重要文件訪問權(quán)限,拒絕或允許惡意代碼進(jìn)程對(duì)文件的操作。該監(jiān)控系統(tǒng)主要用來監(jiān)控計(jì)算機(jī)進(jìn)程對(duì)重要文件操作,同時(shí)記錄下計(jì)算機(jī)進(jìn)程對(duì)文件的操作信息,并以日志的形式展示給用戶然后加以分析,從而判斷出該進(jìn)程對(duì)文件操作是否具有合法性,這樣可以有效的保護(hù)系統(tǒng)文件。
　　該系統(tǒng)主要包括用戶模塊

4、、通信模塊和監(jiān)控模塊三個(gè)子模塊。用戶模塊在用戶層提交需要監(jiān)控的惡意代碼進(jìn)程并記錄到相應(yīng)的進(jìn)程信息列表之中,此外,用戶模塊還需要提供監(jiān)控的重要文件列表并把信息配送到內(nèi)核層,然后把監(jiān)控得到的日志信息展示出來;通信模塊用來保證用戶模塊與監(jiān)控模塊之間的數(shù)據(jù)通信,將用戶模塊指定的進(jìn)程和重要文件信息配置傳遞到監(jiān)控模塊,以及將監(jiān)控模塊得到的日志信息反饋給用戶模塊;監(jiān)控模塊是該系統(tǒng)的核心模塊,是一個(gè)可以動(dòng)態(tài)加載到內(nèi)核層的模塊,它被動(dòng)態(tài)的加載到了VFS與