论文部分内容阅读
随着计算机网络的发展,恶意程序和病毒的数量不断攀升,当恶意程序穿透防火墙到达主机后,恶意程序会对用户主机的资源造成破坏。传统的防火墙和入侵检测技术在恶意程序到达主机之后已无法保护主机的安全,而沙箱技术可以为恶意程序提供一个封闭的运行环境,恶意程序的所有操作都在沙箱中执行,恶意操作不会涉及到真实的主机系统,而只是在沙箱系统中虚拟执行。沙箱系统主要通过使用规则对恶意程序的行为进行限制和使用文件保护机制两种技术保护系统安全。传统的沙箱系统使用的规则存储技术主要是单链表和规则树机制,单链表实现简单,但是规则的匹配效率较低,不适合大型系统;规则树匹配速度较高,但是内存占用很大。本论文在规则树的基础上提出了一种高性能的规则存储模型,首先对规则特征进行优化,尽量减少规则特征的数量;其次对规则特征在规则树中所处的层次进行了深入研究,正确对特征进行分层处理;最后对规则的路径使用压缩和哈希表的方式进行存储,提出了一种压缩方案算法;最后基于以上提出的方案建立了一种高性能的规则存储模型。通过实验证实本论文的规则存储模型和原始的规则树匹配时间大致相同,但是内存占用是原始规则的1/9,从而大大提高了沙箱系统的工作性能。传统的沙箱系统使用文件拷贝副本机制保护沙箱外的文件,当恶意程序对系统文件进行操作时,沙箱系统将会对文件进行一次拷贝,之后恶意程序的操作重定向到副本文件中,这种技术使得沙箱系统的工作效率较低,本论文提出了一种分页式文件保护技术,主要对文件进行虚拟分页,当恶意程序对文件进行操作时,将文件操作定位到虚拟的页中,将涉及到的页进行虚拟映射,程序对文件的操作将在虚拟页中执行,并没有操作真实的文件,从而保护了沙箱外的文件,且分页式文件保护模型具有较高的工作效率。本论文最后在基于以上两种技术的基础上开发了一款简单的Linux沙箱系统,本论文的沙箱技术不仅在传统的PC平台上具有良好的应用场景,并随着移动互联网的发展,在移动平台上将会有更好的发展前景。