基于免疫的Rootkit隐遁攻击动态内存取证方法研究

基本信息

批准号：61462025

项目类别：地区科学基金项目

资助金额：44.00

负责人：张瑜

学科分类：

依托单位：海南师范大学

批准年份：2014

结题年份：2018

起止时间：2015-01-01 - 2018-12-31

项目状态：已结题

项目参与者：Qingzhong Liu,陈凯,梁新秋,刘雁翎,李亚楠,庞富强

关键词：

Rootkit隐遁攻击人工免疫系统网络信息安全内存取证

结项摘要

A Rootkit for Windows systems is a program that penetrates into the system and intercepts the system functions. Rootkit evasion attack is a kind of network attacks,which can effectively hide their presence by intercepting low-level API functions or modifying the system kernel. Moreover, it can hide the presence of particular processes, folders, files and registry keys. Recently, some Rootkits install their own drivers and services only in the system memory. That particular trend makes them invisible and difficult to detect. Therefore, it is very important for preventing network stealth attacks and curbing cyber crimes to completely obtain memory data, analyse the data, and extract the Rootkit evasion attacks evidence. The proposed project will focus primarily on Rootkit evasion attacks about memory data obtainment, memory data analysis，and immunity-inspired memory forensics. It mainly includes the follows: ① The memory data full obtainment of Rootkit evasion attacks. The completely memory data obtained by reversely analyzing the Windows page-swapping files will provide data support for the analysis of it. ② The memory process accurately analysis and its portable executable image file reconstruction. Those information obtained with kernel mode driver will provide evidence support for Rootkit evasion attacks memory forensics. ③The immunity-inspired Rootkit evasion attacks memory forensics. Drawing inspiration from the human immune system and using the mechanisms such as vaccination, self-tolerance, affinity maturation, and antigen presentation are to build a dynamic approach for Rootkit evasion memory forensics. The proposed project can promote the memory data obtainment of Rootkit evasion attacks, improve the technology of analyzing memory data, and thereby develop a novel idea of immunity-inspired Rootkit evasion attacks memory forensics. Furthermore, the proposed project plays an important role in building Rootkit forensics defense products with independent property rights.

完整获取、分析内存镜像数据，并从中提取Rootkit隐遁攻击证据，能有效预防恶意隐遁网络攻击、遏制网络犯罪。本项目在前期研究Rootkit攻击进程分析与免疫检测的基础上，进一步研究Rootkit内存数据获取与分析方法和Rootkit内存免疫取证方法。主要包括：①通过逆向分析Windows内存页面交换机制，获取完整的内存镜像数据，为内存数据分析提供数据支持；②利用内核驱动技术，动态分析内存镜像中的进程数据，并重建与进程相对应的可执行文件映像，为进一步的Rootkit内存取证提供技术与证据支持；③借鉴人体免疫系统机理，通过Rootkit检测器（免疫细胞）的动态演化及证据提取，研究Rootkit隐遁攻击动态内存取证方法。本项目可促进Rootkit隐遁攻击内存数据获取与分析技术的深入发展，拓展Rootkit内存免疫取证研究新思路；同时，对构建自主产权的Rootkit安全取证产品具有重要参考价值。

项目摘要

Rootkit 隐遁攻击原本已经所向披靡，加之采用内存反取证对抗措施后，致使传统的磁盘文件系统取证方法难以取证，这对于网络信息安全的威胁无疑雪上加霜。因此，从Rootkit 隐遁攻击的发展趋势来看，对Rootkit隐遁攻击进行内存取证分析，已是大势所趋、势在必行。.完整获取、分析内存镜像数据，并从中提取Rootkit 隐遁攻击证据，能有效预防恶意隐遁网络攻击、遏制网络犯罪。本项目在前期研究Rootkit 攻击进程分析与免疫检测的基础上，进一步研究Rootkit 内存数据获取与分析方法和Rootkit 内存免疫取证方法。主要包括：①通过逆向分析Windows 内存页面交换机制，获取完整的内存镜像数据，为内存数据分析提供数据支持；②利用内核驱动技术，动态分析内存镜像中的进程数据，并重建与进程相对应的可执行文件映像，为进一步的Rootkit 内存取证提供技术与证据支持；③借鉴人体免疫系统机理，通过Rootkit 检测器（免疫细胞）的动态演化及证据提取，研究Rootkit隐遁攻击动态内存取证方法。.项目成果解决了内存镜像数据完整获取、内存镜像数据的进程分析与可执行文件映像重建、以及Rootkit隐遁攻击内存取证免疫模型的动态刻画问题。本项目促进了Rootkit 隐遁攻击内存数据获取与分析技术的深入发展，拓展了Rootkit隐遁攻击内存免疫取证研究新思路；同时，对构建新一代自主产权的Rootkit 安全取证产品具有重要参考价值。

项目成果

DOI：{{i.doi}}

发表时间：{{i.publish_year}}

暂无此项成果

数据更新时间：2023-05-31

其他相关文献

DOI：10.12198/j.issn.1673 − 159X.3895

发表时间：2021

DOI：

发表时间：2018

DOI：10.7544/issn1000-1239.2018.20170425

发表时间：2018

DOI：

发表时间：2015

DOI：10.16265/j.cnki.issn1003-3033.2019.04.015

发表时间：2019

张瑜的其他基金

批准号：21301014

批准年份：2013

资助金额：30.00

项目类别：青年科学基金项目

批准号：31571478

批准年份：2015

资助金额：25.00

项目类别：面上项目

批准号：81703496

批准年份：2017

资助金额：20.10

项目类别：青年科学基金项目

批准号：81100483

批准年份：2011

资助金额：22.00

项目类别：青年科学基金项目

批准号：81101966

批准年份：2011

资助金额：20.00

项目类别：青年科学基金项目

批准号：81570641

批准年份：2015

资助金额：57.00

项目类别：面上项目

批准号：31200564

批准年份：2012

资助金额：23.00

项目类别：青年科学基金项目

批准号：41807064

批准年份：2018

资助金额：25.00

项目类别：青年科学基金项目

批准号：81760557

批准年份：2017

资助金额：34.00

项目类别：地区科学基金项目

批准号：21771013

批准年份：2017

资助金额：64.00

项目类别：面上项目

批准号：51372007

批准年份：2013

资助金额：80.00

项目类别：面上项目

批准号：10926114

批准年份：2009

资助金额：3.00

项目类别：数学天元基金项目

批准号：31100998

批准年份：2011

资助金额：25.00

项目类别：青年科学基金项目

批准号：81701353

批准年份：2017

资助金额：20.00

项目类别：青年科学基金项目

批准号：81770700

批准年份：2017

资助金额：55.00

项目类别：面上项目

批准号：81100514

批准年份：2011

资助金额：22.00

项目类别：青年科学基金项目

批准号：81703081

批准年份：2017

资助金额：20.00

项目类别：青年科学基金项目

批准号：81200695

批准年份：2012

资助金额：23.00

项目类别：青年科学基金项目

批准号：61262077

批准年份：2012

资助金额：45.00

项目类别：地区科学基金项目

批准号：61862022

批准年份：2018

资助金额：40.00

项目类别：地区科学基金项目

批准号：41706210

批准年份：2017

资助金额：24.00

项目类别：青年科学基金项目

批准号：31771335

批准年份：2017

资助金额：61.00

项目类别：面上项目

批准号：60904027

批准年份：2009

资助金额：17.00

项目类别：青年科学基金项目

相似国自然基金

基于免疫的Rootkit渗透攻击机理分析与检测方法研究

批准号：61262077

批准年份：2012

负责人：张瑜

学科分类：F0205

资助金额：45.00

项目类别：地区科学基金项目

基于免疫的隐遁勒索软件攻击机理分析与防御方法研究

批准号：61862022

批准年份：2018

负责人：张瑜

学科分类：F0205

资助金额：40.00

项目类别：地区科学基金项目

基于物理内存分析的在线取证模型与方法的研究

批准号：61070163

批准年份：2010

负责人：王连海

学科分类：F0206

资助金额：32.00

项目类别：面上项目

基于深度学习的数字语音被动取证新方法研究

批准号：61672302

批准年份：2016

负责人：王让定

学科分类：F0201

资助金额：63.00

项目类别：面上项目

基于免疫的Rootkit隐遁攻击动态内存取证方法研究

{{i.achievement_title}}

暂无此项成果

其他相关文献

跨社交网络用户对齐技术综述

硬件木马:关键问题研究进展及新动向

面向云工作流安全的任务调度方法

城市轨道交通车站火灾情况下客流疏散能力评价

基于FTA-BN模型的页岩气井口装置失效概率分析

张瑜的其他基金

高性能碳纳米纤维/金属氧化物复合膜"柔性"锂离子电池负极的设计、制备及性能调控研究

PRMT1介导的EMT与细胞衰老在乳腺癌转移中的作用及机制研究

巨噬细胞迁移抑制因子（MIF）在帕金森病中的作用及机制研究

基于VHL综合征家系研究miRNA与罹患肾透明细胞癌的关系

IKKbeta-p63途径失调在宫颈癌发生、发展中机制的研究

Exosomal miR-193a介导的足细胞自噬障碍在促进FSGS形成中的作用及相关机制研究

铁蛋白壳状结构的完全去对称化及利用小分子促使壳状结构形成的研究

流域养分迁移过程对源汇景观格局动态的响应

GBP2通过Drp1介导乳腺癌线粒体动态变化和细胞转移的机制研究

基于金属磷化物的钠离子电池柔性电极的设计、合成及性能调控研究

离子液体功能化的石墨烯/金属氧化物/贵金属多元纳米复合催化剂的合成及其绿色催化应用

时滞脉冲差分方程的稳定性研究及其应用

JMJD3在肿瘤细胞衰老相关异染色质凝集形成中的作用及分子机制研究

基于微孔阵列芯片脑卒中相关循环神经细胞的发现及产生机制的研究

肠道菌群调节肠粘膜ILC3细胞分化、归巢的机制及其与过敏性紫癜性肾炎相关性的研究

自噬在补体及HBx蛋白介导的足细胞损伤中的作用及其调控机制研究

癌蛋白Cdc20促进食管癌细胞增殖的机制研究

玻璃体腔内注射E4a改善大鼠糖尿病性视网膜病变机理研究

基于免疫的Rootkit渗透攻击机理分析与检测方法研究

基于免疫的隐遁勒索软件攻击机理分析与防御方法研究

波弗特海与加拿大北极群岛区域北冰洋淡水的积聚和释放变化过程及其动力机制研究

HMGA表达失调介导的异染色质损失在儿童早老症细胞衰老中的作用及机制研究

时滞离散脉冲系统稳定、镇定与控制的研究

相似国自然基金