● 摘要
互联网技术的发展、资源共享需求的增大,给恶意代码的传播提供了有利条件,使得信息系统的安全面临着严重的威胁。面对日益严重的恶意代码问题,传统的防御和检测手段已经不能有效抵御各种攻击。本文针对上述不足,从恶意代码对于系统资源的影响方式出发,研究发现了恶意代码的本质是对系统资源完整性,保密性以及可用性的破坏。在总结恶意代码对于系统资源利用特征的基础上,本文提出了基于资源安全的恶意代码防御和检测机制,并以包含缓冲区溢出攻击的蠕虫和窃取击键的间谍软件作为防御及检测的实例。在针对实例的系统研究中,本文实现了防御和检测的原型系统,并在测试分析中证明了系统的有效性和实用性。本论文主要的内容如下:1、提出基于资源安全的恶意代码防御和检测技术。资源安全从恶意代码对于资源的非法使用出发,通过保证资源的完整性,保密性和可用性来防御及检测恶意代码,从而达到整个系统的安全。2、提出一种基于资源安全的缓冲区溢出检测方法。该方法通过资源安全的理论,系统分析了缓冲区溢出对调用栈完整性的破坏,并引入在权限变化的系统调用时所触发的完整性验证机制,从而完成对于缓冲区溢出的检测。分析测试表明,该方法可以有效检测目前绝大部分基于控制流转移的缓冲区溢出攻击。3、提出一种基于资源安全的击键记录器防御及检测方法。本文研究分析击键记录器的资源利用行为,发现其对资源保密性破坏的本质。从对资源保密性的保护出发,本文使用键盘资源独占模型和资源利用路径分析相结合的方法,分别完成对击键记录器的防御和检测。分析测试表明,该方法可以有效防御及检测目前绝大部分常见的击键记录器。