國家大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃申請表

1、.全國大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃立項(xiàng)申請表項(xiàng) 目 名 稱：基于EIP數(shù)據(jù)分析的隱藏病毒檢測方法及系統(tǒng)研究立 項(xiàng) 人：魏嘉亮所在院（系）：計(jì)算機(jī)科學(xué)與技術(shù)手 機(jī)：電 子 信 箱：55891071qq.申 請 金 額：9,500元訓(xùn) 練 場 地：北京航空航天大學(xué)申 請 日 期：2011年12月 北京航空航天大學(xué)教務(wù)處二一一年項(xiàng)目名稱基于EIP數(shù)據(jù)分析的隱藏病毒檢測方法及系統(tǒng)研究項(xiàng)目來源自己設(shè)定申請經(jīng)費(fèi)9,500起止時(shí)間2011年9月至2013年5月申請人(團(tuán)隊(duì)第一人為立項(xiàng)人)學(xué)號(hào)專業(yè)班級聯(lián)系電話E-mail項(xiàng)目分工魏嘉亮1006104310061255891071qq.組長王星河10061031100

2、612edcrfvedcrfvedcrsina.組員王旭明10061040100612348736632qq.組員畢曉迪10061029100612emily_9229126. 組員導(dǎo) 師孫海龍職務(wù)/職稱副教授，碩士生導(dǎo)師3E-mail1、 申請理由（包括項(xiàng)目背景及自身具備的知識(shí)條件）1. 項(xiàng)目背景計(jì)算機(jī)病毒，是一段附著在其他程序上的，可以實(shí)現(xiàn)自我繁殖的程序代碼。自從1985年在美國被當(dāng)眾證明其存在性之后，計(jì)算機(jī)病毒技術(shù)得到了突飛猛進(jìn)的發(fā)展； 各路高手出于種種目的，紛紛編寫了各式各樣的計(jì)算機(jī)病毒，在Windows-Intel平臺(tái)上掀起了一股股計(jì)算機(jī)病毒狂潮。在這股狂潮中，作為一個(gè)計(jì)算機(jī)技術(shù)高速

3、發(fā)展中的國家，中國首當(dāng)其沖，受到了猛烈的沖擊。 目前，計(jì)算機(jī)病毒變得更加活躍，木馬、蠕蟲、后門病毒等輪番攻擊互聯(lián)網(wǎng)，甚至出現(xiàn)了2006年以來炒得火熱的流氓軟件。2000年以來，由于病毒的基本技術(shù)和原理被越來越多的人所掌握，新病毒的出現(xiàn)以及原有病毒的變種層出不窮，病毒的增長速度也遠(yuǎn)遠(yuǎn)超過的以往任何時(shí)期。根據(jù)最新的報(bào)告顯示，每年大約有幾百萬的病毒出現(xiàn)，而大部分的病毒都是已知病毒的變種，而只有不到10%的病毒是新病毒。目前殺毒軟件應(yīng)對未知病毒的方法是不斷升級病毒庫，完善病毒的特征碼，但是在升級病毒庫中存在一個(gè)時(shí)間差，在這個(gè)時(shí)間差內(nèi)，可能會(huì)導(dǎo)致病毒的大量爆發(fā)，給用戶帶來極大的威脅。并且已知病毒可以通過

4、代碼變形，程序偽裝，程序加殼等方式進(jìn)行免殺，逃避殺毒軟件的查殺。比如在國內(nèi)十分流行的木馬灰鴿子，就是利用加殼和代碼變形的方式對殺軟進(jìn)行逃避，導(dǎo)致在08，09年灰鴿子大規(guī)模爆發(fā)。目前主流殺毒軟件對加殼軟件的處理方法是遇到殼就報(bào)毒，這樣雖然能夠有效的查殺病毒，但是會(huì)導(dǎo)致較高的誤殺率。例如，09年就出現(xiàn)了諾頓誤殺系統(tǒng)文件，導(dǎo)致大量用戶系統(tǒng)崩潰。給個(gè)人用戶帶來極大的麻煩。 本項(xiàng)目主要解決目前殺毒軟件查殺病毒的單一性，查殺效率不高和無力查殺隱藏病毒的問題，通過利用CPU中EIP寄存器所記錄的指令執(zhí)行歷史來檢查隱藏病毒，從而提高隱藏病毒的識(shí)別效率。也可以通過這個(gè)方法間接降低誤殺率。提高殺毒性能和準(zhǔn)確性。例

5、如：如果一個(gè)沒有加殼的病毒其運(yùn)行是：那么加殼后就是它們擁有相同的EIP的共同字符串是：。所以我們可以設(shè)想利用EIP寄存器來檢測病毒。 2. 自身具備的知識(shí)條件 掌握多門編程語言：匯編，C/C+ 掌握數(shù)據(jù)結(jié)構(gòu)和算法 掌握網(wǎng)絡(luò)通信和web技術(shù)：用于實(shí)現(xiàn)云模塊 掌握Windows系統(tǒng)原理 掌握病毒分析的基本技術(shù) 掌握病毒的基本原理2、 項(xiàng)目特色與創(chuàng)新點(diǎn) 1. 項(xiàng)目特色：本項(xiàng)目設(shè)計(jì)目標(biāo)通過檢測CPU中EIP寄存器所記錄的指令執(zhí)行歷史來分析隱藏病毒的特，實(shí)現(xiàn)以下內(nèi)容： 獲取CPU中EIP寄存器所記錄的指令執(zhí)行歷史和已知病毒的EIP的序列進(jìn)行匹配，判斷是否為已知病毒的變種。 利用云技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)化查殺，提高

6、查殺速度和效率。 通過已知病毒查殺未知病毒。2. 創(chuàng)新點(diǎn)： 利用云技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)化查殺，增強(qiáng)用戶與用戶，用戶與服務(wù)器之間的聯(lián)系。 利用CPU中EIP寄存器所記錄的指令執(zhí)行歷史， 利用intel x86提供的Branch Trace Store的功能完成EIP的記入。 提高查殺速度和效率，增加查殺率，降低誤殺率。3、 項(xiàng)目技術(shù)方案 圖一是系統(tǒng)結(jié)構(gòu)示意圖，我們從系統(tǒng)內(nèi)核中獲取正在運(yùn)行文件的EIP序列，然后將其與本系統(tǒng)的安全中心的數(shù)據(jù)庫進(jìn)行對比，判斷是否為安全程序，對可疑程序?qū)?huì)提交至云端，在服務(wù)器中進(jìn)行海量數(shù)據(jù)匹配判斷是否為安全程序。圖一：如圖二所示，本系統(tǒng)分為六大模塊：進(jìn)程監(jiān)控模塊、注冊表監(jiān)控模塊

7、、內(nèi)存加載監(jiān)控模塊、文件創(chuàng)建加載模塊、云安全模塊、安全監(jiān)控中心模塊。進(jìn)程監(jiān)控模塊，主要是利用HOOK獲取EIP的數(shù)據(jù)流，然后將其發(fā)至安全監(jiān)控中心進(jìn)行檢測。注冊表監(jiān)控模塊，主要是監(jiān)控注冊表，檢測是否有可疑行為。內(nèi)存加載監(jiān)控模塊，主要是監(jiān)視內(nèi)存的調(diào)用。文件創(chuàng)建加載模塊，主要是監(jiān)視是否存在非正常文件創(chuàng)建和調(diào)用。云安全模塊，將EIP的數(shù)據(jù)流發(fā)送至云服務(wù)器，進(jìn)行更詳細(xì)的檢測。安全監(jiān)控中心模塊，將以上幾個(gè)模塊的數(shù)據(jù)進(jìn)行匯總。圖二：4、 項(xiàng)目進(jìn)度安排 2011.10-2011.1: ：技術(shù)調(diào)研與需求分析：3個(gè)月2011.1-2012.4：總體設(shè)計(jì)：3個(gè)月以上完成完成資料的綜合整理與分析 2012.4-201

8、2.7：詳細(xì)設(shè)計(jì)：3個(gè)月 2012.7-2013.11：代碼實(shí)現(xiàn)：4個(gè)月2013.11-2013.6：測試與完善：7個(gè)月以上完成軟件設(shè)計(jì)5、 項(xiàng)目預(yù)期成果 我們將會(huì)完成殺毒軟件和文檔，文檔包括需求分析，總體分析，詳細(xì)設(shè)計(jì)等 我們將會(huì)完成技術(shù)報(bào)告一份，詳細(xì)解釋代碼工作原理。 我們打算申請一項(xiàng)專利。 人才培養(yǎng)：通過SRTP，我們小組將會(huì)提高軟件工程的能力。6、 項(xiàng)目經(jīng)費(fèi)預(yù)算經(jīng)費(fèi)明細(xì)預(yù)算額度（元）經(jīng)費(fèi)說明實(shí)驗(yàn)耗材費(fèi)1,500用于購買移動(dòng)硬盤，U盤等存儲(chǔ)工具資料費(fèi)2,000書籍資料，復(fù)印專利申請費(fèi)3,000專利申請版面費(fèi)2,000用于發(fā)表論文其他1,000總計(jì)9,500申請者承諾：1、我保證填報(bào)內(nèi)容屬

9、實(shí)。2、如果獲得資助, 我和本項(xiàng)目組成員將嚴(yán)格遵守有關(guān)各項(xiàng)規(guī)定。 切實(shí)保證研究工作時(shí)間，按計(jì)劃認(rèn)真開展研究工作, 按時(shí)報(bào)送有關(guān)材料。3、任何與本項(xiàng)目相關(guān)的論文或發(fā)明、專利等成果，注明由全國大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃經(jīng)費(fèi)支持。申請者(簽章)： 年 月 日 附項(xiàng)目經(jīng)費(fèi)的使用規(guī)定一、使用范圍：要保證項(xiàng)目經(jīng)費(fèi)用于所支持項(xiàng)目的科研支出。主要包括資料費(fèi)、復(fù)印費(fèi)、版面費(fèi)、會(huì)務(wù)費(fèi)、樣品制作費(fèi)、測試費(fèi)、實(shí)驗(yàn)耗材費(fèi)、小零部件加工費(fèi)及科研協(xié)作費(fèi)等。二、項(xiàng)目成果及有關(guān)要求：1 發(fā)表論文時(shí)應(yīng)注明受全國大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目經(jīng)費(fèi)支持，否則項(xiàng)目結(jié)題時(shí)論文不能計(jì)入項(xiàng)目研究成果。注明方式可以通過標(biāo)題頁的腳注或論文后的感謝等常規(guī)方式體現(xiàn)，以其他形式提交的成果也應(yīng)有相應(yīng)體現(xiàn)。2 本項(xiàng)目經(jīng)費(fèi)支持下完成但