返回
基于Linux内核不变量推测的Rootkit检测

基于Linux内核不变量推测的Rootkit检测

ID:37375730

大小:3.79 MB

页数:59页

时间:2019-05-22

基于Linux内核不变量推测的Rootkit检测_第1页
基于Linux内核不变量推测的Rootkit检测_第2页
基于Linux内核不变量推测的Rootkit检测_第3页
基于Linux内核不变量推测的Rootkit检测_第4页
基于Linux内核不变量推测的Rootkit检测_第5页
资源描述:

《基于Linux内核不变量推测的Rootkit检测》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、硕士学位论文基于Linux内核不变量推测的Rootkit检测RootkitDetectionBasedonLinuxKernellnvariantsInference作者姓名:汪潼学科、专业:过篡扭廛旦这苤学号:21009263大连理工大学DalianUniversityofTechnology大连理工大学学位论文独创性声明IIIIIIIIUllUIIIIIIY2415368作者郑重声明:所呈交的学位论文,是本人在导师的指导下进行研究工作所取得的成果。尽我所知,除文中已经注明引用内容和致谢的地方外,本论文不包含其他个人或集体已经发表的研究成果,也不包含其他已申请学位或其他用途使用

2、过的成果。与我一同工作的同志对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。若有不实之处,本人愿意承担相关法律责任。学位论文题目:基王垦i垒旦茎凼挞丕变量推测鲍垦QQ!垦i!捡型作者签名:之L≥系日期:知:≥年—丘月—生日大连理工大学硕士学位论文摘要Linux操作系统由于其开源和免费的特点受到大家的青睐,同样其遭受的攻击也层⋯不穷,木马是其中威胁较大的一个,木码侵入电脑后首先并不进行破坏性的操作,但是在内部监控计算机的运行,通过事先留下的后门来传输信息以达到窃取用户信息的目的。在木马程序中最难以被用户检测到的就是更加深入操作系统内核的木马,内核层级术马是一种与内核Roo

3、tkit技术相结合的特洛伊木马。由于Rootkit处于系统的底层,具有系统最高的权限而且能够很容易的修改内核中的重要数据结构,很多软件即使查杀也只能针对一种或者几种Rootkit,并不能对所有Rootkit进行查杀,所以内核Rootkit由于其特殊性质目前已经成为计算机安全领域重点研究的课题。内核Rootkit主要是以内核模块(LKM)的形式加载到系统内核中,通过对内核的系统调用表等内核关键数据进行更改,从而实现隐藏自身及相关恶意目的。最近的研究发现Rootkit已经不仅仅通过修改内核关键数据,而且修改非控制型数据同样可以达到恶意目的,例如污染熵池使系统无法获取有效的随机数、添加

4、恶意_进制代码等攻击,之前Rootkit检测技术无法检测这样的Rootkit攻击,⋯。力‘面因为他们只把重点放在控制数据修改的检钡4上,另一方面因为需要能深刻理解内核数据结构语义的专家,给出详细的内核完整性技术规范,才能检测到非控制型数据结构的修改。针对以上分析,本文提出了一种新型内核Rootkit检测技术RKdetect,通过在训练阶段系统抓取整个系统内核内存的页面,提取出数据结构并推测出不变量存储在文件系统中,在执行阶段将Rootkit植入系统之后周期性的去捕获内核内存推断不变量,并与训练阶段得到的不变量作比较查看是否发生改变,如果发生改变贝0存在Rootkit。本文采用观察

5、机和目标机的模式,观察机主要完成数据结构提取、不变量推测、监控目标机、Hadoop集群搭建等功能并且在推测不变量时采用MapReduce编程,目标机主要完成相麻观察机请求抓取内核内存页返回观察机。该方法能广‘泛应用于病毒、木马、Rootkit的检测中,对计算机的安全研究有着很大的意义。最后,为了证明RKdetect能很好的检测出普遍存在的Rootkit,本文实现了该技术,并将不同的Rootkit用来实验,结果证明了RKdetect的有效性和普遍适用性,取得了很好的效果。关键词:内核Rootkit;RKdetect技术;LKM技术;不变量推测基。]iLinux内核不变量推测的Roo

6、tkit检测大连理工大学硕士学位论文RootkitDetectionBasedonLinuxKernelInvariantsInferenceAbstractLinuxoperatingsystemisfavoredbyeveryonebecauseofitsopen-sourceandfreecharacteristics,thesamereasonsitsufferedendlessattacks,oneofthemisTrojanwhichthreatsmore,afterTrojansinvadecomputerdonotdodestructiveoperation,bu

7、tmonitortheoperationintheinternalcomputer,inordertoachievethepurposeoftheftofuserinformation,theytransmitinformationthroughthebackdoorleavingbefore.MostdifficultTrojansdetectedbytheuseristheTrojanhorsewhichpenetratesmoredeeplyintotheoperating

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。