大学生研究性学习和创新性实验计划项目Word文件下载.docx

大学生研究性学习和创新性实验计划项目Word文件下载.docx

《大学生研究性学习和创新性实验计划项目Word文件下载.docx》由会员分享，可在线阅读，更多相关《大学生研究性学习和创新性实验计划项目Word文件下载.docx（10页珍藏版）》请在冰豆网上搜索。

立项时间

2011

完成时间

2013

项

目

主

要

研

究

人

员

序号

姓名

学号

专业班级

所在院（系）

项目中的

分工

1

2010551131

计算机科学与技术

系统设计

2

吴湘博

2009964027

兴湘学院

系统开发

3

吴建

2009551215

软件工程

4

殷宇男

2008650727

底层程序设计

5

马圆圆

2008551125

测试

二、研究成果简介

项目成果类型

□产品□系统软件□论文□专利□其它

（注：

请在相应成果复选框内打“√”，其它请具体说明）

项目成果名称

一、项目研究的目的、意义

随着计算机和互联网的高速发展，人们的生活和工作越来越依赖计算机，大量的网上游戏、网上购物、网上银行等服务涌现，网络安全和信息泄露问题随之而来，其中信息泄露的最大原因来自木马以及病毒了，所以信息隐私的保护也就变的更加重要，对于涉密电脑来说，隐私信息的保护也就来的更加迫切了（涉密计算机是电脑里面有涉及国家机密的文件或文档），现如今计算机的保护体系是通过杀毒软件来完成的，但因为杀毒软件也有技术限制，病毒和木马的更新速度超过杀毒软件的更新速度，对于普通计算机来说，可能杀毒软件就足够了，但对于涉密电脑来说，安全要求和防护体系需求更高，所以本作品就诞生了。

黑客攻击这类计算机的主要手段是在其中安装木马或者间谍软件，因此，防范这类软件也就成了重中之重。

传统的管理措施：

一是对使用者加强管理，提升其保密意识，不随意使用外来软件；

二是为这类计算机安装病毒、木马防护软件。

但是这种措施并不能确保安全。

主要原因：

（1）用户不是计算机专家，不可能时时刻刻保持警惕，也无法完全准确地分辨恶意软件和正常软件。

（2）市售的杀毒软件自身存在弱点——只能对病毒库中已经存在的病毒进行识别，而针对涉密电脑的木马和间谍软件通常都是特制的软件，通常只对少量预订目标展开一对一的攻击，很少在互联网上广泛流传，几乎不会被安全软件厂商捕获；

同时还采用了非公开的加壳、加密、插花等伪装技术，因此有较高的概率逃避杀毒软件的查杀。

甚至本身就是一个拥有正常功能程序，只是在代码中嵌入了后门，杀毒软件更无法识别它们。

因此，我们需要更为专业、防护更为严密的系统来保护这类计算机、能够100%地杜绝这些特制木马间谍软件的运行。

二、研究成果的主要内容

本项目的主要研究内容是一个可以替代人工对病毒木马等恶意程序进行自动分析的系统。

它不仅可以识别已知病毒，还可以根据程序的行为来识别未知病毒。

当可以提供详细的行为分析报告，并根据这些行为做出综合评估，给出程序是否为病毒的分析结果。

系统主要由以下几部分组成：

1.虚拟层

虚拟层是本系统的基础部分。

本系统对可疑程序进行扫描时，是采用的动态扫描方式，即让被监视的程序在计算机上实际运行起来，再搜集其各种危险行为，最后进行过滤和分析。

在这种模式下，无论程序采用何种反跟踪手段（比如压缩加壳、反调试、语句插花等），程序所有的真实行为和目的都会真正显露出来，所以分析的可靠性远高于静态扫描分析。

但是，由于被监控的程序有可能是恶意程序，一旦在真实的机器上运行，将有可能侵入到真实的系统中而导致系统中毒，所以只能让程序运行在虚拟机上。

目前市场上有不少成熟的商用虚拟机软件出售，比如、等。

但这些虚拟机均为通用虚拟机，它们为了适应各种应用场景，需要全面模拟计算机所有的硬件，包括指令系统、等，这不仅极大地消耗了内存资源，而且使得被监控程序的运行速度显著降低，进而影响整个系统的分析速度。

更为重要的是，由于所有的硬件环境全部是模拟出来的，所以与真实环境不是100%地相同，这有可能导致被监控程序的行为与真实环境中有所差异，会影响到分析的准确性。

另外，现在已经出现了一些恶意程序为了防止安全人员在虚拟机中跟踪调试自己，会检测是否为虚拟机环境，一旦发现是常见的虚拟机环境，将拒绝运行。

基于以上原因，我们需要开发自己的虚拟机。

而且这些虚拟机虽然保证真实机器不会被恶意程序感染，但它自己却会被恶意程序修改，为保证分析的准确性，每分析完一个恶意程序，需要重装虚拟机，无法做到完全自动分析，而且效率也太低。

配合本项目的需求，需要自行开发的一个更为精简、小巧，占用资源更少的虚拟机；

被监控程序的运行速度接近于真实环境；

大多数的硬件环境使用真实的硬件，尽量避免与真实环境的区别。

为达到上述目的，我们需要在操作系统与被监控程序之间插入虚拟层。

该虚拟层会替换掉操作系统中具有持久性操作的部分，主要包括：

磁盘驱动、注册表读写模块、进程监视和控制模块、网络通讯模块。

由于本虚拟层并没有模拟和指令系统，所有的程序指令都是运行在真实的上，所以运行速度和运行环境与真实环境几乎相同。

但被监控程序的所有持久性操作（包括硬盘读写、注册表读写、网络通讯）都在虚拟层上进行，所以不会对真实系统产生任何持久的影响，一旦被监控程序被虚拟机的进程控制模块结束，所有的运行痕迹将同时消失，对真实系统没有任何不良影响。

2.行为搜集与分析系统

行为搜集和分析系统是本项目的核心部分。

判断一个可疑程序是否是恶意程序，关键在于捕获其行为进行分析。

恶意程序最常见的行为包括：

硬盘读写、注册表读写、进程创建与关闭、网络通讯、键盘监视、注册服务、安装驱动程序等。

为了全面捕获这些行为，需要编写以上各种类型的程序对这些行为进行监视。

为了防止恶意程序采用驱动技术逃避普通程序的监视，所有的监视程序都必须运行在0级，所以需要采用驱动技术来编写。

另外，不少恶意程序采用了驱动技术来保护自身进程，为了结束这类恶意程序，也需要编写驱动程序获取较高的运行权限。

获取程序的行为之后，下一步是对行为进行分析。

这需要匹配恶意行为库中的行为，并统计各项权值，综合打分后与预先给定的阈值进行比较，最后给出分析报告。

3.恶意行为库

任何一个程序都可能会有上述行为中的一种或多种，但并非每个程序都是恶意程序，为了区分正常程序和恶意程序，提高分析判断的准确性，需要建立恶意行为库。

恶意行为库类似于现在的病毒代码库，但比病毒代码库要小巧得多。

这是因为病毒代码几乎是无穷的，而病毒的行为却是有限的，在很长一段时间内有威胁的行为是相对稳定的。

我们需要先搜集目前的流行恶意程序，总结出它们行为的共性，提取其中有威胁的行为。

然后由行为库建设人员根据经验为每种威胁行为给出相应的权值。

这些权值的确定，需要通过大量的实验来获取并反复调整，以获得最准确的结果。

系统采用2005开发应用层，2003开发驱动层，恶意行为库采用技术存储，不需要使用数据库。

程序运行在2000下。

三、成果的创新特色、实践意义和社会影响

本系统针对不同的行为方式，灵活的运用不同的监控技术，例如：

在监控网络和文件时，分别使用了文件过滤驱动和网络过滤驱动；

在监控注册表、进程、消息钩子时则使用了前沿的注入技术；

在监控时则采用了安全的驱动级监控。

行为分析库则采用绝对标准和相对标，而对于恶意软件的行为匹配则采用匹配规则，提高了匹配效率。

文件驱动中采用了自己设计的指印匹配算法，极大地提高了匹配效率。

由于本系统未采用己流行开来的监控源代码，形成了与市售软件不同的监控体系。

软件在试运行过程中，很快就展现了独特的优势。

比如由某著名邪教组织支持开发的间谍软件“自由门”和“无界”，均采用了反检测技术，一旦发现系统中运行了监控软件比如,W32等知名软件，就会终止自己的运行，以此逃避监测分析。

而由我们开发的检测分析系统由于采用了不同于这些知名软件的技术，该软件无法逃避本系统的检测和分析。

目前各安全厂商的专业人员在跟踪调试病毒时，通常采用两种手段：

一种利用系统级调试工具逐步跟踪病毒的运行，这是白盒跟踪法，对病毒分析准确，但效率低，对反病毒人员的技术要求高。

另外一种手段是让程序在商用虚拟机中运行，然后利用磁盘监视器、注册表监视器、进程监视器、网络防火墙等监视软件搜集病毒的行为，然后由技术人员做出判断，这是黑盒跟踪法。

该方法的效率更高，对反病毒人员的技术要求也较低。

但由于虚拟机与各个监视软件没有融合为一体，还无法完全自动化。

云安全概念的提出，作为服务器一端的病毒分析系统必须是全自动的，这就对自动分析系统的出现提出了迫切的要求。

本项目将黑盒跟踪法中的需要使用到的各种软件融合为一体，具有完全的自主知识产权，基本上可以做到全自动搜集和实时分析，具有较强的创新性和很高的实用价值。

本项目的成果可以商业化。

它将是各个反病毒厂商分析病毒的有力武器，大大降低了人力投入，可以加快对新病毒的响应速度，它将成为云安全服务端的重要组成部分。

另外对于有一定反病毒经验的个人用户而言，这也是一个很不错的辅助工具。

另一方面，该成果还可以作为网络安全监控系统的一部分。

如用于这一目的，需要配合网络抓包和协议分析软件使用，它们作为前期处理软件，将网络数据恢复出来后存放进数据库供本系统分析。

出于安全性和实时性考虑，本系统需要安装在专门的服务器上。

项目成果的远期预期更为光明。

业界普遍认为随着病毒的大量出现，目前各类杀毒软件依赖于病毒特征库的特征码扫描手段几乎已经走到了尽头，目前的替代技术是启发式扫描，但启发式扫描的最大问题是误报率比较高。

而基于行为的扫描方法准确率要高得多，将来的发展方向一定是基于行为的扫描。

本成果之所以暂时不能用在杀毒软件实时监控扫描中，主要是受限于普通个人电脑的内存大小和的速度。

随着计算机硬件的进一步提高，可以预见本成果将会作为杀毒软件的核心组成部分出现在普通个人电脑上。

四、研究成果

本系统构建了一个精简、小巧，占用资源更少的虚拟机；

由于本虚拟机并没有模拟和指令系统，所有的程序指令都是运行在真实的上，所以运行速度和运行环境与真实环境几乎相同。

但被监控程序的所有持久性操作（包括硬盘读写、注册表读写、网络通讯）都在虚拟机上进行，所以不会对真实系统产生任何持久的影响，一旦被监控程序被虚拟机的进程控制模块结束，所有的运行痕迹将同时消失，对真实系统没有任何不良影响。

下面是我们开发的程序实际运行情况部分截图：

图1网络监控截图

图2注册表行为监控截图

图3进程监控截图

图4行为匹配截图

以本项目成果为基础开发的《涉密电脑安全认证及防护系统》，参加了2012年全国大学生信息安全竞赛，获得了三等奖，这也是我校该年度唯一在此竞赛中获奖的项目。

三、项目研究总结报告

在多位同学的通力合作下，历经一年半的时间，第一个正式版本已经开发出来。

该版本包含3个项目，4个项目，13个项目，总代码量将近60,000行。

按照工程规范开发，程序界面友好，操作简便，运行稳定，运行效果达到预期目标。

本项目综合分析当前互联网存在的安全威胁，通过对已有的安全技术，特别是在恶意代码检测领域的研究分析，提出了一种基于系统行为信息的综合评估检测技术。

该技术是建立在静态检测无法完全过滤恶意软件的前提下，对系统行为的异常信息进行评估。

最后在　平台的实体机器上对整个系统进行了测试，并对测试结果进行了详细的分析。

本系统可以稳定运行，并且高效、正确的识别恶意程序。

同时也有一些不足之处：

（1）行为监控手段还不是非常全面，比如内核检测模块，我们现在只监控了，在末来的工作中我们还要监控、关键内核函数的入口处、关键驱动的派遣函数和有关输入输出的设备栈等。

（2）有些二进制函数拦截是在“3”层做的，我们在将来会把它移到“0”层。

（3）目前还只开发出版本，下一步目标是开发出7和下的版本。

在研究工作遇到一些困难

（1）驱动程序运行在内核层，运行级别为0，稍有闪失，就会造成整个系统崩溃，调试团难。

（2）内核层的结构非常复杂，且微软不公开的内核，大部分的资料只是网上别人经过试验的结果，并不是正式的官方资料。

（3）恶意行为库获取困难。

没有现成的恶意行为库，我们需要从大量病毒、木马等恶意程序中分析、提取恶意行为。

（4）虚拟机的构建，我们需要构建一个精简、小巧、占用资源更少的虚拟机，需要在操作系统与被监控程序之间插入虚拟层。

我们还需更加深入研究内核的工作原理，以便更加高效、稳定地获取被监控程序的所有行为。

四、经费使用情况

经费合计1200元，其中，学校配套资助元，学院（所）配套资助元，其他经费元。

经费支出情况：

购买各类图书支出：

875元

打印费支出：

123元

其他办公用品支出：

140元

五、指导教师及学院（系）审核意见

项目指导教师对结题的意见，包括对项目研究工作和研究成果的评价等。

此项目进展顺利，完全达到预期目标。

开发的系统功能完备，运行稳定，具有较高的的技术水准。

负责人签章：

年月日

项目主持人所在学院（系）对结题的意见，包括对项目研究工作和研究成果的评价等。

六、学校结题审核意见

学校对项目研究的任务、目标、方法和研究成果水平等进行评价，是否结题。

年月日