資源描述:
《基于Linux內(nèi)核不變量推測的Rootkit檢測》由會員上傳分享��,免費在線閱讀����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1��、碩士學(xué)位論文基于Linux內(nèi)核不變量推測的Rootkit檢測RootkitDetectionBasedonLinuxKernellnvariantsInference作者姓名:汪潼學(xué)科�����、專業(yè):過篡扭廛旦這苤學(xué)號:21009263大連理工大學(xué)DalianUniversityofTechnology大連理工大學(xué)學(xué)位論文獨創(chuàng)性聲明IIIIIIIIUllUIIIIIIY2415368作者鄭重聲明:所呈交的學(xué)位論文�,是本人在導(dǎo)師的指導(dǎo)下進行研究工作所取得的成果。盡我所知�,除文中已經(jīng)注明引用內(nèi)容和致謝的地方外,本論文不包含其他個人或集體已經(jīng)發(fā)表的研究成果,也不包含其他已申請學(xué)位或其他用途使用
2��、過的成果���。與我一同工作的同志對本研究所做的貢獻均已在論文中做了明確的說明并表示了謝意。若有不實之處����,本人愿意承擔(dān)相關(guān)法律責(zé)任。學(xué)位論文題目:基王墾i壘旦莖凼撻丕變量推測鮑墾QQ!墾i!撿型作者簽名:之L≥系日期:知:≥年—丘月—生日大連理工大學(xué)碩士學(xué)位論文摘要Linux操作系統(tǒng)由于其開源和免費的特點受到大家的青睞�����,同樣其遭受的攻擊也層?不窮��,木馬是其中威脅較大的一個���,木碼侵入電腦后首先并不進行破壞性的操作����,但是在內(nèi)部監(jiān)控計算機的運行��,通過事先留下的后門來傳輸信息以達到竊取用戶信息的目的���。在木馬程序中最難以被用戶檢測到的就是更加深入操作系統(tǒng)內(nèi)核的木馬�����,內(nèi)核層級術(shù)馬是一種與內(nèi)核Roo
3�����、tkit技術(shù)相結(jié)合的特洛伊木馬���。由于Rootkit處于系統(tǒng)的底層�,具有系統(tǒng)最高的權(quán)限而且能夠很容易的修改內(nèi)核中的重要數(shù)據(jù)結(jié)構(gòu)�,很多軟件即使查殺也只能針對一種或者幾種Rootkit,并不能對所有Rootkit進行查殺�����,所以內(nèi)核Rootkit由于其特殊性質(zhì)目前已經(jīng)成為計算機安全領(lǐng)域重點研究的課題�。內(nèi)核Rootkit主要是以內(nèi)核模塊(LKM)的形式加載到系統(tǒng)內(nèi)核中,通過對內(nèi)核的系統(tǒng)調(diào)用表等內(nèi)核關(guān)鍵數(shù)據(jù)進行更改�����,從而實現(xiàn)隱藏自身及相關(guān)惡意目的���。最近的研究發(fā)現(xiàn)Rootkit已經(jīng)不僅僅通過修改內(nèi)核關(guān)鍵數(shù)據(jù)��,而且修改非控制型數(shù)據(jù)同樣可以達到惡意目的�,例如污染熵池使系統(tǒng)無法獲取有效的隨機數(shù)、添加
4��、惡意_進制代碼等攻擊����,之前Rootkit檢測技術(shù)無法檢測這樣的Rootkit攻擊�,?。力‘面因為他們只把重點放在控制數(shù)據(jù)修改的檢鋇4上��,另一方面因為需要能深刻理解內(nèi)核數(shù)據(jù)結(jié)構(gòu)語義的專家���,給出詳細的內(nèi)核完整性技術(shù)規(guī)范�,才能檢測到非控制型數(shù)據(jù)結(jié)構(gòu)的修改���。針對以上分析��,本文提出了一種新型內(nèi)核Rootkit檢測技術(shù)RKdetect����,通過在訓(xùn)練階段系統(tǒng)抓取整個系統(tǒng)內(nèi)核內(nèi)存的頁面,提取出數(shù)據(jù)結(jié)構(gòu)并推測出不變量存儲在文件系統(tǒng)中�����,在執(zhí)行階段將Rootkit植入系統(tǒng)之后周期性的去捕獲內(nèi)核內(nèi)存推斷不變量�����,并與訓(xùn)練階段得到的不變量作比較查看是否發(fā)生改變�,如果發(fā)生改變貝0存在Rootkit。本文采用觀察
5�、機和目標(biāo)機的模式,觀察機主要完成數(shù)據(jù)結(jié)構(gòu)提取��、不變量推測��、監(jiān)控目標(biāo)機��、Hadoop集群搭建等功能并且在推測不變量時采用MapReduce編程�,目標(biāo)機主要完成相麻觀察機請求抓取內(nèi)核內(nèi)存頁返回觀察機。該方法能廣‘泛應(yīng)用于病毒�、木馬、Rootkit的檢測中����,對計算機的安全研究有著很大的意義�。最后���,為了證明RKdetect能很好的檢測出普遍存在的Rootkit�,本文實現(xiàn)了該技術(shù)�����,并將不同的Rootkit用來實驗�,結(jié)果證明了RKdetect的有效性和普遍適用性,取得了很好的效果��。關(guān)鍵詞:內(nèi)核Rootkit���;RKdetect技術(shù);LKM技術(shù)�����;不變量推測基�����。]iLinux內(nèi)核不變量推測的Roo
6�����、tkit檢測大連理工大學(xué)碩士學(xué)位論文RootkitDetectionBasedonLinuxKernelInvariantsInferenceAbstractLinuxoperatingsystemisfavoredbyeveryonebecauseofitsopen-sourceandfreecharacteristics,thesamereasonsitsufferedendlessattacks��,oneofthemisTrojanwhichthreatsmore�,afterTrojansinvadecomputerdonotdodestructiveoperation,bu
7����、tmonitortheoperationintheinternalcomputer,inordertoachievethepurposeoftheftofuserinformation���,theytransmitinformationthroughthebackdoorleavingbefore.MostdifficultTrojansdetectedbytheuseristheTrojanhorsewhichpenetratesmoredeeplyintotheoperating
