隐藏关系下计算机异常干扰检测方法仿真
文/张洋 【摘 要】摘 要
【期刊名称】电子技术与软件工程 【年(卷),期】2024(000)024 【总页数】1
【关键词】【关键词】检测方法 计算机异常 隐藏关系
【文献来源】https://www.zhangqiaokeyan.com/academic-journal-cn_electronic-technology-software-engineering_thesis/0201271654698.html
在传统的计算机异常干扰检测过程中,其检测技术较为落后,不能满足飞速发展的科学技术的需求。传统的计算机异常干扰检测方式有特征码对比法、执行路径分析法以及完整性检测法。特征码对比法可通过对比的方式发现恶意代码虽但是这种方式无法检测系统底层。仅仅根据系统中存在有效信息进行检测,导致其工作开展较为困难。执行路径分析法是对通过对指令数量进行分析的方式来排除异常干扰,在应用过程中较为便捷,但系统的更新会对其检测工作造成一定程度的影响。完整性检测法是指对数据的摘要进行对比,进而改变判断数据,这种方法十分有效,并且较为简单,但是不能对改变的原因进行准确判断。
1 引言
传统计算机的检测方法在应用过程中较为简单,但是无法对多样化的异常干扰进行有效研究,并且没有相应的检测方式,因此较难根据各种情况进行检测。针对此种情况,本文通过研究异常干扰的情况提出一种新的检测方法。相应检
测方式中具有检测源,检测对象以及检测路径。
2 计算机异常干扰在隐藏关系下的检测原理
针对计算机异常干扰的检测,第一要考虑的就是其相关特点,将对检测方式的研究起到至关重要的作用。Bootkit 干扰是指使用隐藏在计算机系统中的方式进行攻击,bootkit 具有隐藏性较高的特点。通过对计算机的隐藏关系开展分析工作的方式,可研究其相关异常干扰的本质,从而为研究工作打下坚实的基础。
3 计算机异常干扰在隐藏关系下的检测方法
为了使检测方式便捷、有效,应区别拥有隐藏干扰的bootkit 运行结果,随后再确认检测方法的三要素:检测源,检测对象以及检测路径。从而检测隐藏关系下计算机内的异常干扰。根据bootkit 的主要隐藏行为,检测方法在内核空间和用户空间,一个检测进程驱动以及功能等隐藏行为。一个检测IAT 表和文件完整性。检测方法框架如图1所示。
4 仿真结果分析
需要进行仿真分析工作来研究计算机Bootkit 异常干扰检测工作的效率。首先,应在matlab7.0 环境下构建仿真平台。使用windows7 32 位操作系统。使用技嘉c41MT 主板充当平台硬件使用windowsdriver kits 7600环境进行开发工作。以上实验拥有以下几方面内容:首先对检测方法的通用性能进行检验,其次对检测方法的有效性能进行检验,随后对其性能进行综合分析。在验证的过程中拥有:BMW,Stonedbootkit 以及TDL4 等相关bootkit。BMW 具有较高的隐藏性能,TDL4可以使用HOOK 技术和驱动隐藏技术进行攻击操作。Stonedbootkit 可以根据TDL4 对存储区所拥有的信息资源进行操作。可对其
进行测试来寻找相关检测路径、检测源以及检测行为。对调试过程开展分析工作,可得出bmw 在实现其核心空能的过程中对驱动以及进程进行了隐藏。因此无法检测从bmw 到hook 的操作。根据仿真分析结果来看,检测方法在检测方法三要素的基础上,可检测当前流行的bootkit,同时发现其隐藏特点以及攻击行为,具有较高的检测效果。
本文根据传统的计算机检测方式进行分析,完善其检测方式的落后,从而减少不必要的安全隐患。所以,可使用根据计算机隐藏关系进行异常干扰的检测工作。针对仿真过程,使用其检测方式的有点,而在实际的检测过程中,bootkit 的隐藏关义复杂性较高,隐藏行为具有多样化的特点,使检测的难度大幅度增加,随后可以量化处理检测三要素,对其表示方式以及存储方式进行合理优化,使其检测性能得以提升。 参考文献
[1] 刘文祺,范明钰,赵永福.隐藏关系下计算机异常干扰检测方法仿真研究[J].计算机仿真,2024(01):424-427.
[2] 张清川,孙帆,王宇晨.物联网环境下Web 数据库异常数据检测方法研究[J].计算机测量与控制,2017,25(09):170-173.
[3] 蒋和国,蒋烈辉等.基于JTAG 仿真的ARM Linux 设备Bootkit 检测技术研究[J].计算机应用研究,2016,33(02):526-530.
【文献来源】https://www.zhangqiaokeyan.com/academic-journal-cn_electronic-technology-software-engineering_thesis/0201271654698.html
隐藏关系下计算机异常干扰检测方法仿真
