--- title: 第一次書面報告 tags: - 第一組 --- ## 題目 惡意軟體執行過程中的偵測與中斷。嘗試建置類似 Snort 的偵測系統。可以透過設置規則（rule）的方式，來監測 process。由於惡意軟體的行為多變且複雜度高，使用類似 Snort 的簽名式規則難以偵測惡意軟體的行為。所以 rules 則是可以使用紀錄狀態的 Finite State Machine(FSM)的架構來撰寫規則。 會需要考量的問題： - 儲存效率：使用 FSM 紀錄狀態會需要記憶體空間，設計一個良好的資料結構，可以大幅節省記憶體。 - 執行效率：與惡意軟體賽跑，時間分秒必爭。如何設計一個有效率的演算法/FSM 阻擋惡意軟體攻擊，也會是研究目標之一。 - 如何判斷當前的 process 需不需要被 FSM 持續的紀錄狀態？ - 規則比對：嚴格的比對方式還是疏鬆的比對方式可以更好的偵測惡意軟體呢？減少 false positive >[!Note] 筆記 > - Aho-Corasick 演算法：一種字典式的多模式匹配演算法，能夠同時搜尋多個模式，並在一次掃描過程中找出所有相符的結果。 > - 多級規則鏈結：把類似的規則鏈結在一起，減少不必要的規則檢查。 > 透過建置監控平台的方式，是不是就可以利用開源的優勢，讓大眾可以一起解決監測規則良率的問題了？ > [name=羅崧瑋] ## 大綱 - 第一章 概述 - 摘要 Abstract - 動機 Motivation - 目標 Object - 專案管理 Project Management - 進度規劃 - 工作分配 - 成本分析 Cost Analysis - 第二章 相關研究 Related Research - 第三章 研究方法 Methodology - 系統設計與架構 System Design and Architecture - 第四章 系統實作 Implementation - 第五章 結論與未來發展 - 結論 Conclusion - 未來發展 Future Work #### 參考資料 - [專題報告內容及書寫格式](https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fcse.ttu.edu.tw%2Fvar%2Ffile%2F58%2F1058%2Fimg%2F104%2F579488145.docx&wdOrigin=BROWSELINK) - [專題簡式報告格式](https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fcse.ttu.edu.tw%2Fvar%2Ffile%2F58%2F1058%2Fimg%2F104%2F517613644.docx&wdOrigin=BROWSELINK) ## 動機 隨著勒索軟體的迅速發展，特別是RaaS（Ransomware as a Service）的興起，使得勒索病毒的開發與散播變得更加簡單。傳統的防毒軟體主要依賴於病毒的靜態特徵進行偵測，這種方法在應對現代複雜的勒索病毒時顯得無力。因此，我們的目標是設計一種即使在病毒已經成功侵入系統後，仍能即時偵測並中斷其惡意行為，保護使用者的資料免受損失。 > 這個還要再改 ## 進度安排 > 進度好難安排 @_@ > 剩不到一個月開發 #### 八月 - 分析勒索病毒 #### 九月 - OS API 學習：熟悉作業系統提供的API，了解如何監測與分析這些API的呼叫。 - 逆向工程學習：掌握基本的逆向工程技術，用於分析惡意軟體。 - 軟體架構規劃：設計整體系統架構，包括偵測模組與中斷機制。 - 實作簡易版本：建立一個簡單的原型，用於測試核心功能。 - Demo 影片製作：製作演示影片，展示系統的核心功能與應用場景。 #### 十月 - 10/2 17:00 報名截止 - 初賽日期：113年10月14日(一)～113年10月18日(五) - 完整版本實作：根據簡易版本的測試結果，開發出完整的系統。 #### 十一月 - 決賽日期：113年11月2日(六) 8\:00am-5:00pm - 完整版本實作：根據簡易版本的測試結果，開發出完整的系統。 #### 十二月 - 完整版本實作：根據簡易版本的測試結果，開發出完整的系統。 #### 一月 #### 二月 #### 三月 #### 四月 #### 五月 #### 六月 ## 工作安排 - 樣本分析 - WannaCry - ... - 軟體開發 - C99 spec - Windows API - Linux API - imgui - 專題報告 - 簡式報告 - 海報製作