三、项目研究总结报告 在多位同学的通力合作下,历经一年半的时间,第一个正式版本已经开发出来。该版本包含3个EXE项目,4个SYS项目,13个DLL项目,总代码量将近60,000行。按照工程规范开发,程序界面友好,操作简便,运行稳定,运行效果达到预期目标。 本项目综合分析当前互联网存在的安全威胁,通过对已有的安全技术,特别是在恶意代码检测领域的研究分析,提出了一种基于系统行为信息的综合评估检测技术。该技术是建立在静态检测无法完全过滤恶意软件的前提下,对系统行为的异常信息进行评估。最后在WINDOW XP平台的实体机器上对整个系统进行了测试,并对测试结果进行了详细的分析。本系统可以稳定运行,并且高效、正确的识别恶意程序。 同时也有一些不足之处: (1)行为监控手段还不是非常全面,比如内核检测模块,我们现在只监控了SSDT,在末来的工作中我们还要监控IDT、关键内核函数的入口处、关键驱动的派遣函数和有关输入输出的设备栈等。 (2)有些二进制函数拦截是在“RING3”层做的,我们在将来会把它移到“RING0”层。 (3) 目前还只开发出WINDOWS XP版本,下一步目标是开发出WINDOWS 7和WINDOWS PHONE下的版本。 在研究工作遇到一些困难 (1)驱动程序运行在内核层,运行级别为ring0,稍有闪失,就会造成整个系统崩溃,调试团难。 (2)内核层的结构非常复杂,且微软不公开Windows的内核,大部分的资料只是网上别人经过试验的结果,并不是正式的官方资料。 (3)恶意行为库获取困难。没有现成的恶意行为库,我们需要从大量病毒、木马等恶意程序中分析、提取恶意行为。 (4)虚拟机的构建,我们需要构建一个精简、小巧、占用资源更少的虚拟机,需要在操作系统与被监控程序之间插入虚拟层。 我们还需更加深入研究WINDOWS内核的工作原理,以便更加高效、稳定地获取被监控程序的所有行为。 四、经费使用情况 经费合计 1200 元,其中,学校配套资助 元,学院(所)配套资助 元,其他经费 元。 经费支出情况: 购买各类图书支出:875 元 打印费支出:123元 其他办公用品支出:140元 五、指导教师及学院(系)审核意见 项目指导教师对结题的意见,包括对项目研究工作和研究成果的评价等。 此项目进展顺利,完全达到预期目标。开发的系统功能完备,运行稳定,具有较高的的技术水准。 负责人签章: 年 月 日 项目主持人所在学院(系)对结题的意见,包括对项目研究工作和研究成果的评价等。 负责人签章: 年 月 日 六、学校结题审核意见 学校对项目研究的任务、目标、方法和研究成果水平等进行评价,是否结题。 年 月 日
大学生研究性学习和创新性实验计划项目
