一、注册表与系统安全(论文文献综述)
雷凯[1](2021)在《使用Windows API进行恶意软件检测的研究》文中提出近年来计算机技术不断发展,计算机软件和硬件水平也不断提高,越来越多的恶意软件涌现了出来。针对Windows主机的的入侵也越来越多,传统的网络安全措施难以适应Windows环境安全检测需求。为了解决Windows环境下的网络安全问题,研究者们提出了基于机器学习的Windows入侵检测技术。在机器学习算法中,随机森林、K-Means、SVM等算法被广泛应用于入侵检测,但是这些算法复杂度高,模型泛化能力弱,数据量较大时检测时间较长。使用集成学习Boosting的算法有LightGBM,使用集成学习Bagging思想的算法有随机森林,Bagging思想是非常简单的,就是每一个子数据集生成一个弱学习器,然后通过投票的方式决出一个强学习器,对于简单的数据集来说,随机森林简单且高效。LightGBM是基于直方图算法的决策树算法,能够将大量相对连续的数值进行离散化。本文通过对入侵检测以及集成算法的研究,最终选LightGBM算法作为入侵检测系统的算法,并对入侵检测结果使用准确率、精确率、召回率、F-1度量进行了评估。论文主要工作内容如下:(1)针对数据集的处理,本论文充分利用收集到的多个关于Windows API调用的公开数据集,针对这些数据集的不同,本文将这些数据集进行了合并,形成了两套数据集。通过对比这两套数据集,选用一套效果好的数据集加入到本文的入侵检测系统中。整理完数据集本文先对数据进行预处理,充分挖掘数据信息,找到296个重要的API调用,并考虑到不同恶意软件之间的差异,将数据集分为9部分,代表不同的九种恶意软件。(2)本论文设计了 Windows环境下的使用LightGBM入侵检测系统,利用Python的Sklearn库对数据集进行训练,通过调整LightGBM中学习率、树的最大深度、特征选取比例和每次迭代的数据比例参数确定了理想参数范围,并在测试集上取得了很高的分类准确率。(3)作为横向对比,采用相同数据集,在LightGBM检测基础上,分别使用回归树、决策树、随机森林、GBDT、XGBoost和LightGBM算法进行了异常检测。在训练时间以及准确率等方面,将结果与LightGBM算法进行对比,对模型进行评估及优化。LightGBM的准确率、精确率、F-1值和AUC值都高于其他机器学习模型,都在97%以上。
李佳伟[2](2020)在《智慧标识网络域间流量工程机制研究》文中提出现有互联网经过50多年的飞速发展,取得了巨大的成功,但随着网络规模的膨胀与应用场景的多样化,现有互联网逐渐难以满足未来网络场景的通信需求。在此背景下,国内外科研人员致力于研发未来互联网体系结构。为满足我国在未来信息网络领域的战略需求,北京交通大学下一代互联网设备国家工程实验室提出了智慧标识网络体系架构(Smart Identifier Network,SINET),力求解决未来网络在扩展性、移动性、安全性、绿色节能等方面的问题。本文分析并总结了SINET架构为实现流量工程带来的机遇与挑战,在此基础上结合新网络在路由、转发、流量感知、缓存等方面的潜在特性,对SINET中的域间入流量控制问题、域间出流量控制问题、域间流量的降低问题等展开了深入的研究。本文的主要工作和创新点如下:1.针对域间入流量控制问题,提出了四种基于流量监控和服务大小元数据的域间入流量控制算法。上述算法利用SINET网络接收者驱动的通信模式,通过控制服务请求包的域间传输路径,实现域间入流量控制。四种算法的核心思想是按照概率控制服务请求包的域间传输路径,区别在于四种算法更新选路概率的决策信息不同。算法一不使用任何信息,算法二利用流量信息,算法三利用服务大小信息,算法四同时利用流量信息和服务大小信息。在SINET原型系统上的测试结果表明,所提算法可以高效、准确地调度域间入流量。与基于IP前缀协商的入流量控制方法相比,所提出的机制可以提升56%的入流量调度准确性,并且可以高效地处理域间链路故障和突发流量。2.针对域间出流量控制问题,提出了基于纳什议价博弈的域间出流量控制机制。该机制利用SINET中的服务注册消息交互服务对于域间路径的喜好度,并利用纳什议价博弈模型与邻居自治系统协商服务请求包的域间转发决策,实现域间出流量控制。仿真中将降低服务域内传输开销作为出流量控制收益。结果表明,该机制无需自治系统交互敏感信息,在无缓存场景中,相较于自私的请求包转发策略,可使60%的自治系统提高10%的出流量控制收益。在有缓存场景中,该机制为自治系统带来的出流量控制收益随缓存空间增加而减少。在SINET原型系统上的测试结果表明,当服务注册频率为8000个每秒时,资源管理器带宽开销为1303KBytes每秒,CPU利用率为16%,证明该机制具有较好的可行性和可部署性。3.针对域间流量的降低问题,提出了基于拉格朗日对偶分解和合作博弈的域间流量降低机制。该机制利用SINET网络内部缓存的特性,使多个接入网自治系统合作地决定缓存服务,降低了服务缓存在多个接入网自治系统中的冗余度。该机制使相邻接入网共享服务缓存以降低获取服务的域间流量和传输费用。仿真结果表明,与非合作的自私缓存策略相比,该机制可以多降低3.77倍的域间流量和传输费用。与集中式的缓存分配方案相比,该机制以少降低9.7%的域间流量为代价,可获得29.6%流量降低收益公平性的提升,且具有较好的隐私性。该机制以增加少量通信开销为代价,分布式地运行在各自治系统中,具有较低的计算开销和较好的可部署性。例如,当该机制运行在42个缓存容量为5GBytes的自治系统中时,只造成2.337MBytes的通信开销。
王乐乐[3](2020)在《恶意程序动态行为分析关键技术研究》文中认为随着各种系统漏洞被不断发现,恶意程序种类及其变种数量呈指数级上升,怀有不同目的的大规模APT攻击不断出现,针对个人计算机及企业服务器的攻击呈现出规模化、体系化、智能化、复杂化等特点,网络攻击方式层出不穷,手段日渐丰富,给传统的恶意程序分析检测带来了极大的挑战。由于恶意程序自我保护能力不断提升,传统静态分析算法不能穷尽恶意程序所有可能执行路径,很多行为获取不到,越来越不能满足恶意程序分析的要求。同时,加壳及变种恶意程序的不断增多也对恶意程序的动态分析提出了新的挑战,需要研制通用高效的恶意程序动态分析系统平台,来捕获恶意程序的不同行为,并进行行为抽象获得行为特征。另外,为了处理捕获的海量恶意程序样本,需要建立精确的恶意程序分类模型,对可疑程序进行分析研判,识别恶意特征,并完成精准分类的任务。针对恶意程序分析检测中存在的问题,本文充分分析了恶意程序静态和动态分析优缺点,设计基于Cuckoo的恶意程序动态分析系统,为恶意程序运行创造“模拟的真实环境”,让恶意行为充分暴露,捕获其运行过程中的全部API序列以及对应的参数,并对其进行行为抽象。在此基础上,本文通过对基于自注意力机制的深度残差网络、基于最小行为图的匹配算法,以及多层语义聚合的递归神经张量网络的深入研究,对恶意程序行为进行精准分类,以期提高恶意程序的检测准确率。本文的主要研究成果有:(1)针对现有分析工具对恶意程序行为捕获及分析能力不足的问题,提出了基于行为的抽象方法。通过沙盒构造程序运行时所需的环境,将程序运行时的API序列及参数信息全部捕获到,通过构造辅助表,分析API之间的依赖关系,根据程序运行时调用的系统资源,提出了基于恶意行为的抽象方法,完成对API序列的行为抽象,构建该序列的行为特征向量。实验结果表明,通过对4个典型API的测试和验证,基于行为的抽象方法分析出的行为抽象结果与实际数据完全吻合,其捕获的行为能够有效表征测试程序的行为。(2)针对现有恶意程序分析中不易精确获取恶意行为特征的问题,提出了基于自注意力机制的深度残差神经网络恶意程序分类算法。该算法借鉴图像识别领域用深度残差网络模型进行训练的思路,引入自注意力机制,通过对大量样本的训练,学习同类样本之间的相似度,自动获得能够表征不同类别差异的特征。实验结果表明,深度残差神经网络模型的检测率比传统机器学习算法检测率有明显提升,达到91.5%;特别是引入自注意力机制后,和ResNet-50相比,准确率提升了2.5%,误检率下降了3%,表明自注意力机制有助于提取更加精确的分类特征,有助于提升算法的分类准确率。(3)针对传统的行为特征描述无法直观反映恶意程序真实攻击意图的问题,提出基于最小行为图匹配的分类算法。该算法基于沙盒系统捕获的恶意程序行为序列,建立以“最小行为”为基础的行为图,提出了行为图匹配算法,并构建了82个常见恶意行为的“最小行为”图,从而对恶意行为进行了直观的描述。实验结果表明,采用“最小行为”图匹配算法,能够检测大部分的恶意行为,在捕获能力上要高于常见沙盒系统。用四大类别的恶意程序样本进行识别率的实验,除AutoRun类外,对其他类别恶意程序的识别率都在90%以上,具有较高的检测准确率。(4)针对一般的机器学习恶意程序分类算法以程序特征为基础,未考虑实际语义的问题,提出了基于多层语义聚合与递归神经张量网络相结合的恶意程序分析模型。通过研究恶意程序语义的聚合关系,提出一种多层语义聚合模型。借鉴递归神经张量网络自底向上逐层计算的特点,以减少参数计算为目的,构建了多层语义聚合与递归神经张量网络相结合的恶意程序分析模型。为检测模型的实际性能,实验中搭建了基于多层语义聚合的RNTN网络恶意程序分析系统。实验结果表明,该模型的检测指标要优于机器学习算法,能够提升恶意程序的分析检测性能,为恶意程序分析提供了一种好的解决方案。
秦子萱[4](2020)在《基于数据架构的农用地档案数据注册引擎的研究与实现》文中指出近年来,人工智能、大数据、云计算等技术在各行各业飞速发展。在农业生产方面也产生了巨大影响,主要表现为农作物产量方面的提高和质量方面的提升。但是,在农用地档案管理方面,大多数农业部门对农用地档案数据的管理依然是以纸质形式保存,手动填写表数据。如果要找到某指定数据,效率低,难度大。因此,如何将农用地档案数据高效、安全、系统的管理起来是本论文要解决的问题。本论文研究的是在数据架构的基础上,用面向数据的体系结构(DOA)实现农用地档案数据注册引擎。通过数据注册方法,将源数据的信息存放在数据注册表中,以便用户更加快速高效的查找数据。通过RSA加密算法,对源数据进行加密保存,实现对数据的安全保护。本论文建立了农用地档案基础数据库,并在此基础上,设计实现了基于数据架构的农用地档案数据注册引擎,对其需求和功能都做了详细的阐述。本论文的研究内容如下:⑴基于数据架构,研究将DOA技术应用于农用地档案数据管理中后,如何将数据更方便、高效地进行管理,实现数据注册引擎的开发。⑵通过数据注册方法,提取数据的信息,形成数据注册表。用数据注册表展示数据注册记录,达到用数据的信息操作数据的目的。⑶研究农用地档案数据之间的关系,建立农用地档案数据的关系模型。通过本论文的研究,可得出结果:实现数据架构中的农用地档案数据注册引擎,可以比目前农用地档案管理方式效率更高,数据逻辑更清晰,实现了数据管理的安全和高效,也为实现数据架构提供了技术前提。本论文的主要创新点如下:⑴基于农用地档案数据规范,制定了农用地档案数据的注册规则。⑵建立了农用地档案数据的关系模型。⑶初步将DOA应用于农用地档案管理中,利用数据的信息管理数据,将冗杂的农用地档案数据系统地进行管理和应用,实现农用地档案数据的最大化利用。
傅依娴[5](2020)在《基于深度学习的恶意代码检测技术》文中提出互联网技术蓬勃发展的同时,恶意代码借助软件漏洞、网址链接、电子邮件等方式攻击计算机,给广大Windows系统用户造成巨大的损失,因此针对Windows系统的恶意代码检测技术的研究十分必要。传统的恶意代码检测技术容易产生误报和漏报,无法满足当前要求;另外,为躲避杀毒软件的查杀,不法分子利用加壳、多态等技术生成恶意代码变种。为了有效解决上述问题,本文将卷积神经网络模型用于恶意代码检测当中;同时将One-Hot与Word2vec二者结合起来对特征向量化工作进行优化,从而在模型检测阶段提高对恶意代码的检测效果。本文主要研究内容如下:1.恶意代码特征预处理:当前主要是通过提取样本程序的字节码、PE结构、汇编码来进行后续的恶意代码检测。而本文此次主要对动态行为进行提取,采用搭建Cuckoo沙箱的方式模拟运行环境,从而得到恶意代码的分析日志文件。特征预处理,是要从冗杂的日志文件中提取出能表现恶意代码动态行为的特征信息。本文的做法是,编写Python脚本提取日志文件中的API函数信息,包括函数种类、函数名,再将提取到的信息转化成API调用序列。2.特征向量化模型选择:对文本信息中每个API函数进行唯一编号,从而将每个恶意代码API调用序列转化为词编号序列,最后将词编号序列转化为特征向量的形式。本文将词向量模型One-Hot与Word2vec二者结合使用,以期达到更好的特征向量化效果,最后通过实验与常见的One-Hot模型和Word2vec模型对比检测效果。3.基于卷积神经网络的恶意代码检测:卷积神经网络广泛被应用于图像识别、计算机视觉等领域,近些年来在自然语言处理方面也有所突破。本文借鉴自然语言处理方法,将深度学习中具有良好分类性能的卷积神经网络CNN应用于恶意代码检测领域,并在参数上进行调整以及优化器上进行优化。本文利用Virus Share上的数据集共设计四组实验。通过实验表明,卷积神经网络模型经过One-Hot和CBOW组合的特征向量化处理后,其准确度可高达96%;另外选择最佳优化算法,其损失值在0.06上下,模型收敛程度高,模型达到优化。综上所述,本文在特征向量化方法上进行改进,还在优化算法选择以及其他参数调整上对模型进行优化,所提出的卷积神经网络CNN(One-Hot+CBOW)检测模型具有更好的检测效果。
孙文贺[6](2019)在《面向主机的攻击行为分析研究》文中指出目前,网络攻击形式多样,攻击持续时间及攻击数量不断增加,设备及应用面临巨大安全威胁。现有的防火墙、入侵检测等安全技术,虽然能够实现网络数据过滤、网络访问规则策略设定和攻击检测,但不能很好地解决主机设备中面临的安全问题,例如主机是否被植入木马病毒、主机中哪些信息被窃取、主机信息如何泄露等。现在大多数形式的网络攻击的最终目标多是网络中的终端实体(主机),所以在主机上进行攻击分析能够反映网络攻击情况。本文的研究工作是利用主机的系统日志刻画面向主机的攻击行为,并识别攻击意图,以提高对主机安全的感知能力。面向主机的攻击有多种形式,本文主要以恶意程序为例,研究其对终端实体(主机)的影响。本文主要工作包括三个部分:(1)提出了基于Windows事件数据进行攻击分析的方法。本方法利用Windows事件追踪(Event Tracingfor Windows)收集的主机日志作为行为操作数据,将主机的行为分为文件、注册表、进程、网络四个方面;结合自定义的高危动作特征,采用病毒分析方法,生成攻击行为调用图以及统计操作行为特征;利用上述数据能刻画出攻击对Windows主机产生的一系列危害行为,通过分析操作行为特征,识别出具体的攻击行为类型。(2)提出了一种基于图聚类的攻击行为分析方法。该方法是对基于Windows事件数据进行攻击分析的方法的改进。该方法使用因果关系思想,分析主机系统内的对象调用关系。通过使用图表示进程的调用关系,然后采用社区发现算法对进程调用图进行图聚类,达到自动发现恶意进程及其相关的恶意社区。另外,由于主机日志中存在许多冗余的条目,这些冗余的日志并不能表示出系统的事件关系,因此需要进行日志数据的预处理,本文提出去除冗余日志的规则,实现了数据清洗。(3)最后提出一种对攻击的影响和意图进行识别的方法。本方法综合分析恶意程序的攻击路径和攻击在主机产生的资源(网络资源、文件资源等)调用,将行为操作与调用关系进行结合,识别出攻击的影响和意图。本文的研究工作侧重分析恶意程序在主机产生的具体恶意动作行为,通过实验验证,能识别出恶意程序的攻击路径,并进一步识别出攻击的影响和意图。本文工作不仅能提升对面向主机攻击的安全感知能力,而且对研究攻击行为方面也有重要意义。
常玉[7](2016)在《Windows关键技术研究及其在内网安全中的应用》文中研究说明随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。随着网络使用范围的扩大,恶意代码的攻击目的,也由破坏能力炫耀转向了经济利益的获取和政治破坏的目的。特别的,当恶意程序在内网中对内网终端进行大规模感染的时候,它的破坏力和持久性就会成倍的增加。内网终端安全主要是针对系统消息的过滤及其处理,内网终端安全技术主要分为用户模式的消息过滤技术和内核模式的消息过滤技术。本文分别研究了用户模式的Windows钩子技术和内核模式中的文件过滤驱动以及磁盘过滤驱动,解决了内网终端安全面临最大的问题,即恶意程序防控问题,实现了内网终端安全中的系统固化和恶意程序检测,主要研究内容如下:1.研究并分析了在内网安全管理系统中,内网终端安全在针对恶意程序防控所涉及的两个方面,包括恶意程序的防护和恶意程序检测,并针对这两个方面各自分析了在高安全需求的内网中需要达到的要求。2.研究了 Windows驱动开发技术和磁盘过滤驱动技术,这其中,重点研究了三个关键性难题:在磁盘过滤驱动中得到磁盘物理文件扇区地址的问题、获取物理文件在系统中的簇列表的问题和文件的簇地址与扇区地址建立对应关系的问题,并在此研究基础上,实现了基于磁盘过滤驱动的操作系统固化方案,实现了磁盘与内存的注册表单向数据单向传递,从而避免了注册表重定向带来的注册表项链接破坏问题。3.研究了 Windows内核设备通信机制和文件系统过滤驱动技术,这其中,解决了在创建文件时文件系统过滤驱动如何获取准确的创建文件名称的问题、文件系统过滤驱动的派遣函数与完成函数不在同一线程导致缓冲区失效问题以及跨卷重命名文件时文件系统过滤驱动无法捕获到重命名消息的问题。并在此研究基础上,实现了基于文件系统过滤驱动的操作系统固化方案。4.提出了低漏检率的恶意程序检测方案。该方案利用Windows钩子技术提取程序的运行序列,并进行抽象化处理,以此为程序特征,减少了特征中冗余信息的含有量,并且创新的引入了原本是计算相似度的k-gram算法,将此算法的计算结果作为SVM分类算法输入,与其他利用SVM分类算法进行检测的方案相比,不仅降低了输入的向量维度提高了检测方案的计算效率,而且达到了漏检率最低为1.91%的效果。
王文奇,吴志刚,李世晓[8](2012)在《Windows注册表隐藏检测完全解决方案》文中研究表明在分析Windows注册表系统及注册表隐藏技术的基础上,提出一个完全解决方案用于检测被Rootkit等木马隐藏的注册表项。设计底层数据复制算法来复制注册表文件,以解决无法直接读取注册表信息的问题,通过多层次匹配算法检测得到注册表的隐藏位置。实验结果证明,该方案可以突破Windows系统的限制,检测到从内核层到应用层所有被隐藏和修改的注册表信息及其隐藏位置,且不受Rootkit木马干扰。
丁宁[9](2011)在《基于Windows 7的可信终端管理系统的设计与实现》文中提出伴随信息技术的快速发展,随之而来的安全问题也正面临着前所未有的挑战。近年来,危害信息安全的事件不断发生,导致一些核心机密泄露,严重影响了社会稳定,形势十分严峻。基于Windows 7操作系统的可信终端管理系统的目的是系统可以在Windows7操作系统平台上正常运行,可以对Windows 7操作系统平台上的进程、设备与文件进行监控,能够实时地对进程、设备与文件进行管理,防止用户的非法操作与外来攻击,系统还能够收集计算机上的硬件信息、软件信息以及安全信息,保证终端计算机系统的可信。本论文首先介绍了可信终端管理系统的研究现状及相关的理论基础知识,然后介绍了可信终端管理系统的模型,根据系统模型设计与实现一个终端安全产品。对于进程监控、设备监控主要是采用了Win32 API层的HOOK,对文件监控主要是采用了Shell命名空间监控,能够很及时的获得用户对文件的操作情况。主要工作包括Windows 7上的可信终端管理系统的关键技术实现,Windows 7上信息收集和系统自保护实现。针对可信终端管理系统在Windows 7用到的关键技术以及关键技术实现都进行了详细描述。针对Windows 7操作系统新增加了一些信息收集功能,方便管理员查看终端运行状态,主要是采用了WMI技术,通过WMI提供的接口很方便实现在Windows 7上面的信息提取,还用到了Windows API函数接口提取终端信息。另外本系统的核心模块是以服务运行,对系统自保护的实现是通过检测安装服务的方法进行实现的,通过服务可以提高系统的安全级别,使系统本身得到安全保证。接着针对系统所需要的功能对系统进行测试,保证系统可以在Windows 7系统上正常运行。最后对本论文研究的课题进行了总结与展望。
钱涛[10](2010)在《金融ATM的安全软件的设计与实现》文中提出Windows操作系统提供的安全机制虽然考虑到了普遍领域对安全的需求,但是却不能满足ATM等特殊领域对系统安全的更高要求。本文分析了Windows系统已有的安全机制,并在此基础上提出了对系统插入键盘、鼠标设备的拦截,对创建进程的审核,对修改文件、注册表的审核方法,以满足特殊领域的安全需要。本文所提出的解决方案在内核态中起作用,因此避免了很多现存的运行在用户态的方案潜在的问题。为了拦截系统使用键盘、鼠标设备,本文分析了系统启动过程,并修改了相关驱动,从而保证在系统启动时插入键盘、鼠标也能被拦截到;为了判断进程是否为恶意进程并杀死,本文分析了系统进程的创建过程,提出了拦截方法,并使用路径树模型审核进程的合法性,能保证恶意进程开始执行前被杀死;为了审核进程对文件、注册表的修改,本文分析了系统调用过程和修改文件、注册表相关的系统调用,并使用路径树模型来审核这些调用。在此基础上,实现了满足ATM的特殊安全需求的软件ZSecATM。在设计和实现ZSecATM时,充分考虑了不同版本的Windows系统的不同点,因此保证了其在Windows XP/7等版本上的兼容性。测试结果表明,ZSecATM能根据用户所配置的安全信息,拦截并成功拒绝对ATM上的资源的非法访问,保证了ATM的系统安全。在提出解决方案时,参阅了WRK版本的Windows源代码,所提出的解决方案不仅能用在ATM上,也能用于其他的安全场景,因此具有普遍意义。
二、注册表与系统安全(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、注册表与系统安全(论文提纲范文)
(1)使用Windows API进行恶意软件检测的研究(论文提纲范文)
摘要 |
Abstract |
第一章 绪论 |
1.1 研究背景及意义 |
1.1.1 课题研究背景 |
1.1.2 课题研究内容 |
1.2 入侵检测国内外研究现状 |
1.3 论文研究内容及目标 |
1.3.1 论文研究内容 |
1.3.2 论文研究目标 |
1.4 论文结构与安排 |
第二章 Windows主机入侵检测 |
2.1 计算机病毒发展史 |
2.2 Windows恶意软件的种类 |
2.2.1 勒索病毒 |
2.2.2 挖矿病毒 |
2.2.3 DDoS木马病毒 |
2.2.4 蠕虫病毒 |
2.2.5 感染型病毒 |
2.2.6 后门病毒 |
2.2.7 木马病毒 |
2.2.8 间谍病毒 |
2.2.9 广告病毒 |
2.3 Windows恶意软件入侵的方式 |
2.4 Windows恶意软件检测方法 |
2.5 本章小结 |
第三章 入侵检测算法模型 |
3.1 决策树算法 |
3.1.1 ID3算法 |
3.1.2 C4.5算法 |
3.1.3 CART算法 |
3.1.4 决策树的生成和剪枝 |
3.2 决策树集成算法 |
3.2.1 RF |
3.2.2 AdaBoost |
3.2.3 GBDT |
3.2.4 XGBoost |
3.2.5 LightGBM |
3.3 本章小结 |
第四章 基于Windows API入侵检测系统设计 |
4.1 实验环境的搭建 |
4.1.1 Cuckoo沙箱环境 |
4.1.2 机器学习模型环境的搭建 |
4.2 数据的获取 |
4.2.1 公开数据集 |
4.2.2 自产数据集 |
4.2.3 数据的预处理 |
4.2.4 数据结构设计 |
4.3 机器学习模型的选取与训练 |
4.3.1 实验的分类设计 |
4.3.2 实验评价指标 |
4.3.3 实验方案1结果以及分析 |
4.3.4 实验方案2的结果及分析 |
4.4 入侵检测系统的评估 |
4.5 本章小结 |
第五章 总结与展望 |
5.1 论文工作的总结 |
5.2 未来研究展望 |
参考文献 |
附录 |
致谢 |
(2)智慧标识网络域间流量工程机制研究(论文提纲范文)
致谢 |
摘要 |
ABSTRACT |
主要缩略语对照表 |
1 绪论 |
1.1 引言 |
1.2 研究背景和研究现状 |
1.2.1 流量工程概述 |
1.2.2 智慧标识网络概述 |
1.2.3 智慧标识网络研究现状 |
1.2.4 未来网络流量工程研究概述 |
1.3 选题目的及意义 |
1.4 论文主要内容与创新点 |
1.5 论文组织结构 |
2 智慧标识网络及其流量工程概述 |
2.1 引言 |
2.2 SINET体系结构 |
2.2.1 基本模型 |
2.2.2 服务注册与解注册 |
2.2.3 服务查找、缓存与转发 |
2.3 SINET架构为实现流量工程带来的机遇 |
2.3.1 优势分析 |
2.3.2 域内场景 |
2.3.3 域间场景 |
2.4 SINET架构实现域间流量工程方面的挑战 |
2.5 本章小结 |
3 基于流量监控和服务大小元数据的域间入流量控制机制 |
3.1 引言 |
3.2 域间入流量控制研究现状 |
3.2.1 BGP协议在域间入流量控制方面存在的问题 |
3.2.2 基于IP前缀协商的入流量控制 |
3.2.3 相关研究概述 |
3.3 基于流量监控和服务大小元数据的域间入流量控制机制 |
3.3.1 系统模型设计 |
3.3.2 入流量控制算法 |
3.4 原型系统测试 |
3.4.1 实现方式 |
3.5 测试结果分析 |
3.5.1 性能指标 |
3.5.2 实验结果 |
3.6 本章小结 |
4 基于纳什议价博弈的域间出流量控制机制 |
4.1 引言 |
4.2 相关工作概述 |
4.2.1 现有Internet中的域间出流量控制 |
4.2.2 域间流量管理的自私性问题 |
4.2.3 纳什议价模型及其在网络领域的应用 |
4.3 基于纳什议价博弈域间出流量控制机制 |
4.3.1 设计目标 |
4.3.2 系统模型与机制 |
4.3.3 模型复杂度分析 |
4.3.4 域间路径个数对协商收益的影响 |
4.4 原型系统与仿真测试 |
4.4.1 原型系统 |
4.4.2 仿真平台 |
4.5 实验结果 |
4.5.1 无缓存场景 |
4.5.2 有缓存场景 |
4.5.3 协商收益与谈判破裂点的关系 |
4.5.4 系统开销评估结果 |
4.6 本章小结 |
5 基于拉格朗日对偶分解与合作博弈的域间流量降低机制 |
5.1 引言 |
5.2 相关工作概述 |
5.3 基于拉格朗日分解和合作博弈的域间流量降低机制 |
5.3.1 设计目标 |
5.3.2 网络模型 |
5.3.3 LOC策略、GOC策略和FC策略的定性对比 |
5.4 仿真测试 |
5.4.1 实验方法 |
5.4.2 实验结果 |
5.5 本章小结 |
6 智慧标识网络原型系统与仿真平台 |
6.1 引言 |
6.1.1 未来网络原型系统研究现状 |
6.1.2 SINET原型系统的演进 |
6.2 SINET原型系统的拓扑结构与配置信息 |
6.3 网络组件功能设计 |
6.3.1 资源管理器 |
6.3.2 边界路由器 |
6.3.3 域内路由器 |
6.3.4 服务器和客户端 |
6.4 原型系统性能测试 |
6.5 SINET仿真平台 |
7 总结与展望 |
7.1 工作总结 |
7.2 研究展望 |
参考文献 |
作者简历及攻读博士学位期间取得的研究成果 |
学位论文数据集 |
(3)恶意程序动态行为分析关键技术研究(论文提纲范文)
摘要 |
Abstract |
第一章 绪论 |
1.1 课题研究背景及意义 |
1.1.1 全球网络安全形势 |
1.1.2 我国网络安全形势 |
1.2 国内外研究现状 |
1.2.1 恶意行为的数据捕获 |
1.2.2 恶意行为的特征提取 |
1.2.3 恶意程序的分类检测 |
1.3 本文研究内容及主要工作 |
1.3.1 目前研究中存在的问题 |
1.3.2 本文主要研究工作 |
1.4 论文的组织与结构 |
第二章 相关理论基础 |
2.1 恶意程序分析方法 |
2.1.1 静态分析法 |
2.1.2 动态分析法 |
2.2 恶意程序的反分析方法 |
2.3 恶意程序的描述方法 |
2.4 基于深度学习技术的恶意程序分析 |
2.5 深度学习中的词向量设计 |
2.6 本文采用的评价标准 |
2.7 本章小结 |
第三章 基于沙盒的恶意行为捕获与行为抽象 |
3.1 引言 |
3.2 基于沙盒的行为捕获 |
3.2.1 Cuckoo沙盒 |
3.2.2 HOOK技术 |
3.2.3 Cuckoo HOOK |
3.3 基于行为的抽象方法 |
3.3.1 基于行为的抽象方法基本内容 |
3.3.2 辅助表设计 |
3.3.3 基于行为的抽象规则 |
3.3.4 基于行为的抽象流程 |
3.4 实验与结果分析 |
3.5 本章小结 |
第四章 基于自注意力机制的深度残差网络恶意程序分类算法 |
4.1 引言 |
4.2 适应ResNet的词向量映射模型 |
4.3 基于自注意力机制的深度残差网络恶意程序分析框架 |
4.3.1 残差学习 |
4.3.2 残差网络模型 |
4.3.3 非局部均值操作 |
4.3.4 自注意力机制 |
4.4 实验与结果分析 |
4.4.1 实验流程及参数设置 |
4.4.2 实验数据及结果分析 |
4.5 本章小结 |
第五章 基于最小行为图匹配的恶意程序分类算法 |
5.1 引言 |
5.2 行为图的构建规则 |
5.2.1 行为图的描述 |
5.2.2 最小行为图的建立规则 |
5.2.3 最小行为图的存储形式 |
5.3 基于最小行为图的匹配算法 |
5.3.1 最小行为的关联规则 |
5.3.2 基于最小行为图的匹配算法 |
5.3.3 关系规则的解析 |
5.4 基于最小行为图匹配的恶意程序分析框架 |
5.5 实验与结果分析 |
5.6 本章小结 |
第六章 基于多层语义聚合的递归神经张量网络恶意程序分类算法 |
6.1 引言 |
6.2 基于递归神经张量网络的恶意程序分析框架 |
6.3 基于递归神经张量网络的恶意程序分析算法 |
6.3.1 递归神经网络模型 |
6.3.2 递归神经张量网络模型 |
6.3.3 多层语义聚合关系分析 |
6.3.4 基于多层语义聚合的RNTN网络训练方法 |
6.4 实验与结果分析 |
6.4.1 实验环境 |
6.4.2 实验步骤 |
6.4.3 实验结果分析 |
6.5 本章小结 |
第七章 总结与展望 |
7.1 总结 |
7.2 展望 |
致谢 |
参考文献 |
作者简历 |
(4)基于数据架构的农用地档案数据注册引擎的研究与实现(论文提纲范文)
摘要 |
Abstract |
1 绪论 |
1.1 课题来源及背景 |
1.2 课题研究意义 |
1.3 国内外现状 |
1.3.1 国外研究现状 |
1.3.2 国内研究现状 |
1.4 论文研究内容及技术路线 |
1.5 论文组织架构 |
1.6 本章小结 |
2 数据架构 |
2.1 DOA简介 |
2.1.1 数据注册中心DRC |
2.1.2 RSA加解密原理 |
2.2 数据架构简介 |
2.3 数据架构说明 |
2.4 数据流程说明 |
2.5 数据架构作用 |
2.6 本章小结 |
3 农用地档案数据和数据注册规则 |
3.1 农用地档案数据规范简介 |
3.2 农用地档案数据 |
3.3 数据注册规则 |
3.4 本章小结 |
4 基础数据库的建设 |
4.1 空间数据 |
4.2 产权数据 |
4.3 质量数据 |
4.4 生产数据 |
4.5 扩展数据 |
4.6 数据注册引擎数据 |
4.7 本章小结 |
5 数据注册引擎的设计 |
5.1 业务需求 |
5.2 功能需求 |
5.2.1 数据注册 |
5.2.2 用户登录注册 |
5.2.3 数据的查看 |
5.2.4 数据的添加 |
5.2.5 更新密钥 |
5.2.6 用户管理 |
5.3 本章小结 |
6 测试验证 |
6.1 测试环境 |
6.1.1 硬件环境 |
6.1.2 软件环境 |
6.2 测试实现 |
6.3 对比测试 |
6.4 测试结论 |
6.5 本章小结 |
结论 |
参考文献 |
附录A 注册规则 |
附录B 注册的关键代码 |
攻读硕士学位期间发表论文及科研成果 |
致谢 |
(5)基于深度学习的恶意代码检测技术(论文提纲范文)
摘要 |
Abstract |
引言 |
1 绪论 |
1.1 恶意代码检测选题背景 |
1.2 课题研究意义与目标 |
1.3 国内外研究现状 |
1.4 本文主要工作内容 |
1.5 文章框架 |
2 恶意代码综述 |
2.1 恶意代码定义 |
2.2 恶意代码命名规则 |
2.3 恶意代码分类 |
2.4 恶意代码基本特性 |
2.5 常见的恶意代码检测技术 |
2.5.1 特征码扫描技术 |
2.5.2 启发式扫描技术 |
2.5.3 动态行为分析技术 |
2.5.4 沙箱技术 |
2.6 本章小结 |
3 基础理论以及关键技术 |
3.1 基于API调用的恶意代码动态行为分析 |
3.1.1 Cuckoo HOOK技术原理 |
3.1.2 Windows API机制 |
3.1.3 恶意代码常见API特征 |
3.2 典型恶意代码样本动态行为特征分析 |
3.2.1 WannaCry勒索病毒分析 |
3.2.2 Locky勒索病毒分析 |
3.3 卷积神经网络概述 |
3.3.1 卷积神经网络原理 |
3.3.2 卷积神经网络基本结构 |
3.3.3 卷积神经网络应用 |
3.4 本章小结 |
4 基于卷积神经网络的恶意代码检测模型 |
4.1 模型总体框架设计 |
4.2 恶意代码API序列获取 |
4.3 卷积神经网络模型构建 |
4.4 输入层特征向量化 |
4.4.1 基于One-Hot模型的特征向量化 |
4.4.2 基于Word2vec模型的特征向量化 |
4.4.3 One-Hot与 Word2vec结合的API特征向量化 |
4.5 卷积层特征提取 |
4.6 池化层特征降采样 |
4.7 CNN模型优化 |
4.7.1 损失函数 |
4.7.2 优化算法选择 |
4.8 本章小结 |
5 实验与分析 |
5.1 实验数据与实验环境 |
5.2 评价指标 |
5.3 实验结果 |
5.3.1 不同滤波器下词向量模型选择实验 |
5.3.2 卷积神经网络模型优化实验 |
5.3.3 与常见分类算法对比实验 |
5.3.4 与杀毒软件对比实验 |
5.4 本章小结 |
6 总结与展望 |
6.1 全文总结 |
6.2 工作展望 |
参考文献 |
在学研究成果 |
致谢 |
(6)面向主机的攻击行为分析研究(论文提纲范文)
致谢 |
摘要 |
ABSTRACT |
1 绪论 |
1.1 研究背景和意义 |
1.2 国内外研究现状 |
1.2.1 主机异常检测 |
1.2.2 攻击溯源追踪 |
1.2.3 攻击意图分析 |
1.3 论文研究内容 |
1.4 论文组织安排 |
2 相关技术 |
2.1 恶意程序分析技术 |
2.1.1 静态分析技术 |
2.1.2 动态分析技术 |
2.2 主机的异常检测技术 |
2.2.1 网络连接检测 |
2.2.2 主机文件检测 |
2.3 WINDOWS事件跟踪 |
2.4 社区发现算法 |
2.5 本章小结 |
3 面向主机的攻击行为分析方法 |
3.1 主机行为分析模型 |
3.2 主机日志数据 |
3.3 面向主机的攻击行为分析 |
3.3.1 主机行为分析流程 |
3.3.2 攻击数据分析 |
3.3.3 实验分析 |
3.4 本章小结 |
4 基于图聚类的攻击行为分析与意图分析方法 |
4.1 因果关系图的生成 |
4.1.1 主机事件关系 |
4.1.2 去除冗余日志 |
4.1.3 因果关系算法设计 |
4.2 基于图聚类的攻击分析方法 |
4.2.1 社区发现算法 |
4.2.2 恶意进程识别 |
4.2.3 恶意程序的分类 |
4.3 攻击影响和意图分析方法 |
4.4 本章小结 |
5 实验结果及分析 |
5.1 实验环境 |
5.2 实验数据 |
5.3 实验方案说明 |
5.4 实验结果 |
5.4.1 恶意进程发现结果 |
5.4.2 影响和意图 |
5.5 本章小结 |
6 总结与展望 |
6.1 主要工作总结 |
6.2 未来工作展望 |
参考文献 |
作者简历及攻读硕士学位期间取得的研究成果 |
学位论文数据集 |
(7)Windows关键技术研究及其在内网安全中的应用(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 课题背景 |
1.2 研究现状 |
1.3 论文研究内容 |
1.4 本文组织结构 |
第二章 内网终端安全技术介绍 |
2.1 Windows钩子技术 |
2.1.1 DLL注入技术 |
2.1.2 API HOOK技术 |
2.2 Windows操作系统内核组件 |
2.2.1 I/O管理器 |
2.2.2 文件系统 |
2.3 SFilter文件过滤驱动 |
2.4 磁盘过滤驱动 |
2.5 本章小结 |
第三章 内网安全管理系统框架 |
3.1 内网安全管理系统架构 |
3.2 服务器端 |
3.3 客户端 |
3.3.1 基于身份认证的开机登录控制 |
3.3.2 外设访问控制 |
3.3.3 网络访问控制 |
3.3.4 文件操作审计 |
3.3.5 文件加密模式 |
3.3.6 操作系统固化 |
3.3.7 恶意程序检测 |
3.4 本章小结 |
第四章 基于磁盘过滤驱动的内网终端系统固化研究 |
4.1 需求分析 |
4.2 基于磁盘过滤驱动的内网终端系统固化方案设计 |
4.3 基于磁盘过滤驱动的内网终端系统固化方案实现 |
4.3.1 建立磁盘过滤驱动 |
4.3.2 获取注册表文件所在磁盘扇区 |
4.3.3 过滤注册表的写磁盘操作 |
4.4 方案的测试与分析 |
4.4.1 稳定性分析结果 |
4.4.2 功能测试结果 |
4.4.3 性能测试结果 |
4.5 本章小结 |
第五章 基于文件过滤驱动的内网终端系统固化研究 |
5.1 基于文件过滤驱动的内网终端系统固化方案设计 |
5.2 基于文件重定向的关键文件固化方案实现 |
5.2.1 文件的新建策略 |
5.2.2 文件的读/写/删除策略 |
5.2.3 文件的重命名策略 |
5.2.4 文件的属性查询策略 |
5.3 方案的测试与分析 |
5.3.1 功能测试结果 |
5.3.2 性能测试结果 |
5.4 本章小结 |
第六章 基于软件相似度的内网终端恶意程序检测技术 |
6.1 方案分析 |
6.1.1 程序的特征提取弱点分析 |
6.1.2 对程序特征的恶意性判别弱点分析 |
6.2 基于API HOOK技术的程序特征提取改进 |
6.3 基于k-gram算法的程序特征恶意性判别 |
6.4 基于软件相似度的内网终端恶意程序检测实现 |
6.5 Windows下恶意程序检测实验与仿真 |
6.6 本章小结 |
第七章 总结与展望 |
参考文献 |
致谢 |
攻读硕士学位期间发表的学术论文目录 |
(8)Windows注册表隐藏检测完全解决方案(论文提纲范文)
1 概述 |
2 注册表隐藏技术 |
3 隐藏注册表检测框架 |
4 底层数据复制技术 |
5 注册表信息提取算法 |
6 基于多层次匹配的注册表隐藏点检测算法 |
7 实验测试 |
8 结束语 |
(9)基于Windows 7的可信终端管理系统的设计与实现(论文提纲范文)
致谢 |
中文摘要 |
ABSTRACT |
序 |
1 引言 |
1.1 研究背景 |
1.2 研究现状 |
1.2.1 可信计算研究现状 |
1.2.2 可信终端管理系统国内外发展现状 |
1.3 研究内容 |
1.4 论文结构及章节安排 |
2 相关基础理论知识 |
2.1 基于Windows NT内核的操作系统总体架构 |
2.2 Windows 7与XP的差异 |
2.2.1 Windows操作系统安全概述 |
2.2.2 UAC用户账户控制 |
2.2.3 Windows 7虚拟化 |
2.2.4 Session 0隔离 |
2.2.5 UIPI用户界面权限隔离 |
2.3 相关技术 |
2.3.1 HOOK API技术 |
2.3.2 Windows Shell技术 |
2.3.3 WMI技术 |
2.3.4 Windows API COM接口 |
3 可信终端管理系统模型 |
3.1 可信终端管理系统概要设计 |
3.1.1 软件需求 |
3.1.2 设计原则 |
3.1.3 系统概要设计 |
3.2 可信终端管理系统功能介绍 |
3.2.1 进程管理 |
3.2.2 设备管理 |
3.2.3 文件管理 |
3.2.4 信息收集 |
4 可信终端管理系统在Windows 7上关键问题分析 |
4.1 Windows 7下使用注册表进行DLL注入 |
4.1.1 DLL注入分析 |
4.1.2 解决方案 |
4.2 系统服务与桌面应用程序的消息传递 |
4.2.1 问题描述 |
4.2.2 解决方案 |
5 可信终端管理系统在Windows 7上的实现 |
5.1 可信终端管理系统模型实现 |
5.2 可信终端管理系统消息传递模块实现 |
5.2.1 监控模块概述 |
5.2.2 消息处理模块概述 |
5.2.3 监控模块与消息处理模块消息传递实现 |
5.2.4 进程自保护实现 |
5.3 可信终端管理系统安装模块实现 |
5.4 可信终端管理系统信息收集模块实现 |
5.5 可信终端管理系统自保护模块实现 |
5.5.1 可信终端管理系统服务自保护实现 |
5.5.2 可信终端管理系统安装目录自保护实现 |
6 可信终端管理系统的测试 |
6.1 测试环境简介 |
6.2 系统功能测试 |
6.2.1 终端进程控制测试 |
6.2.2 终端设备控制测试 |
6.2.3 终端审计信息测试 |
6.2.4 终端信息收集测试 |
6.2.5 终端自保护测试 |
7 结论 |
7.1 总结 |
7.2 展望 |
参考文献 |
作者简历 |
学位论文数据集 |
(10)金融ATM的安全软件的设计与实现(论文提纲范文)
摘要 |
ABSTRACT |
第1章 绪论 |
1.1 研究背景 |
1.2 术语说明 |
1.3 本文结构 |
第2章 研究综述 |
2.1 Windows系统安全 |
2.2 安全监控方法 |
2.3 系统调用拦截方法 |
2.4 本章小结 |
第3章 ATM安全需求分析 |
3.1 需求分析 |
3.2 解决方案概述 |
3.3 本章小结 |
第4章 ATM安全软件设计 |
4.1 概述 |
4.1.1 软件需求 |
4.1.2 设计原则 |
4.1.3 功能模块 |
4.2 安全配置模块 |
4.2.1 模块框架 |
4.2.2 用户界面 |
4.3 安全设置模块 |
4.3.1 模块框架 |
4.3.2 设置说明 |
4.4 安全监控模块 |
4.4.1 模块框架 |
4.5 本章小结 |
第5章 ATM关键问题实现 |
5.1 键盘插入拦截 |
5.1.1 驱动调用情况分析 |
5.1.2 系统启动过程 |
5.1.3 解决方案 |
5.1.4 鼠标插入拦截 |
5.2 进程审核 |
5.2.1 进程创建过程拦截 |
5.2.2 进程审核规则 |
5.2.3 路径树构建和查询 |
5.2.4 进程审核驱动 |
5.3 文件、注册表修改审核 |
5.3.1 系统调用过程 |
5.3.2 系统调用拦截 |
5.3.3 审核文件修改 |
5.3.4 审核注册表修改 |
5.4 本章小结 |
第6章 ZSECATM安全软件实现 |
6.1 概述 |
6.2 安全配置模块 |
6.2.1 实现框架 |
6.2.2 配置文件格式 |
6.3 安全设置模块 |
6.3.1 实现框架 |
6.3.2 设置注册表 |
6.3.3 设置指令 |
6.4 安全监控模块 |
6.4.1 实现框架 |
6.4.2 模块通信 |
6.5 本章小节 |
第7章 总结与展望 |
7.1 总结 |
7.2 展望 |
结束语 |
参考文献 |
攻读硕士学位期间主要的研究成果 |
致谢 |
四、注册表与系统安全(论文参考文献)
- [1]使用Windows API进行恶意软件检测的研究[D]. 雷凯. 北京邮电大学, 2021(01)
- [2]智慧标识网络域间流量工程机制研究[D]. 李佳伟. 北京交通大学, 2020(03)
- [3]恶意程序动态行为分析关键技术研究[D]. 王乐乐. 战略支援部队信息工程大学, 2020(12)
- [4]基于数据架构的农用地档案数据注册引擎的研究与实现[D]. 秦子萱. 成都大学, 2020(08)
- [5]基于深度学习的恶意代码检测技术[D]. 傅依娴. 中国人民公安大学, 2020(11)
- [6]面向主机的攻击行为分析研究[D]. 孙文贺. 北京交通大学, 2019(01)
- [7]Windows关键技术研究及其在内网安全中的应用[D]. 常玉. 北京邮电大学, 2016(04)
- [8]Windows注册表隐藏检测完全解决方案[J]. 王文奇,吴志刚,李世晓. 计算机工程, 2012(14)
- [9]基于Windows 7的可信终端管理系统的设计与实现[D]. 丁宁. 北京交通大学, 2011(09)
- [10]金融ATM的安全软件的设计与实现[D]. 钱涛. 浙江大学, 2010(04)