Windows下基于挂钩技术的数据标注

王丽艳; 张志斌

0
0
浏览
下载

摘要
关键词
基金信息
论文图表
同行评议
相关论文
评论

Windows下基于挂钩技术的数据标注

首发时间：2012-01-09

王丽艳 ¹
王丽艳，（1987-），女，研究生，主要研究方向是网络测量。
张志斌 ²
张志斌(1978-), 性别男, 职称助研, 主要研究方向:网络测量,网络信息安全

1、北京邮电大学计算机学院，北京 100876
2、中国科学技术研究院网络安全实验室

摘要：清晰标注网络数据对研究和实际工程都有很重要的意义，现阶段的研究主要是采用人工模拟和DPI分析。人工模拟引入人为因素，受到实验环境影响，可能掩盖网络数据本身的特点；DPI 不能发现"新"网络应用数据，并且对于加密数据流无法分析；两种方法都不能全面准确的标注实际网络数据。通过研究Windows下应用程序调用API的过程，本文提出利用挂钩接管Windows部分系统网络函数的方法来标注网络数据。本文介绍设计了Hook API系统以实现应用程序的数据标注。该系统包含Hook Server与Hook Driver两部分：Hook Server负责将Hook Driver注入到进程地址空间中，主要使用了远程线程等技术；Hook Driver负责挂钩系统函数，完成接管控制函数的任务。实验部分详述了如何使用Hook API系统标注网络数据。为了验证由Hook API得到的网络数据完整性与准确性，使用Wireshark捕获过滤数据，通过对比发现，Hook API标注的到的数据更为完备，实验证明本文提出的方法能够达准确完备的标注应用程序的网络数据。

关键词： windows API DPI 进程数据标注 Hook Server Hook Driver

For information in English, please click here

Data Identify in Programs of Windows by Hooking

WANG Liyan ¹
王丽艳，（1987-），女，研究生，主要研究方向是网络测量。
Zhang Zhibin ²
张志斌(1978-), 性别男, 职称助研, 主要研究方向:网络测量,网络信息安全

1、BeiJing University of Post and Teconology, Beijing 100876
2、Research Center of Information Security，Institute of Computing Technology,Chinese Academy of Sciences,Beijing,P.R.China

Abstract：In this paper a method which used to match network data to the right application process was proposed.There were two main ways to biuld reference data.Firstly, reference data can be achieved by simulation. All the data which were produced by the specified process running at a fixed time peroid and fixed computers were assigned to this specified peocess. Simulation can lead to data useless because it brought about people's influences. Secondly, DPI can analyze network data and attatch them with the application name label which were keeped in signature database. However, DPI doesnot work when it is unware of signatures of new applicaations or the network data which had been encrypted. In this paper, we find it is available to identify network data by hooking and controling some system functions. API Hook system was composed of Hook Server and Hook Driver. Hook Server copied Hook Driver into address space of the process. Hook driver hooked and controled the system functions.The reserch shows that this method can identy the network data completely and exactly.

Keywords： Windows API DPI process data identify Hook Server Hook Driver

基金：

论文图表：

引用

导出参考文献

.txt

.ris

.doc

王丽艳，张志斌. Windows下基于挂钩技术的数据标注[EB/OL]. 北京：中国科技论文在线 [2012-01-09]. https://www.paper.edu.cn/releasepaper/content/201201-234.

No.****

同行评议

共计0人参与

全部评论

0/1000

论文编号	201201-234
论文题目	Windows下基于挂钩技术的数据标注
文献类型
收录期刊	上传封面中文期刊英文期刊期刊名称（中文）期刊名称（英文）年，卷（）上传封面中文专著英文专著书名（中文）书名（英文）出版地出版社出版年上传封面中文译著英文译著书名（中文）书名（英文）出版地出版社出版年上传封面中文论文集英文论文集编者.论文集名称（中文） [c]. 出版地出版社出版年， - 编者.论文集名称（英文） [c]. 出版地出版社出版年，- 上传封面中文文献英文文献期刊名称（中文）期刊名称（英文）日期-- 在线地址http:// 上传封面中文文献英文文献文题（中文）文题（英文）出版地出版社,出版日期-- 上传封面中文文献英文文献文题（中文）文题（英文）出版地出版社,出版日期--
英文作者写法：中外文作者均姓前名后，姓大写，名的第一个字母大写，姓全称写出，名可只写第一个字母，其后不加实心圆点“.”, 作者之间用逗号“，”分隔，最后为实心圆点“.”, 示例1：原姓名写法：Albert Einstein,编入参考文献时写法：Einstein A. 示例2：原姓名写法：李时珍；编入参考文献时写法：LI S Z. 示例3：YELLAND R L,JONES S C,EASTON K S,et al.