基于数据特征的内核恶意软件检测

被引：9

作者：

陈志锋 ^{[1
,2
]}

李清宝 ^{[1
,2
]}

张平 ^{[1
,2
]}

丁文博 ^{[1
,2
]}

机构：

[1] 解放军信息工程大学

[2] 数学工程与先进计算国家重点实验室

来源：

软件学报 | 2016年 / 27卷 / 12期

关键词：

内核恶意软件; 数据特征; 内核数据对象; 恶意软件检测;

D O I：

10.13328/j.cnki.jos.004927

中图分类号：

TP316 [操作系统]; TP309 [安全保密];

学科分类号：

081201 ; 0839 ; 1402 ;

摘要：

内核恶意软件对操作系统的安全造成了严重威胁.现有的内核恶意软件检测方法主要从代码角度出发,无法检测代码复用、代码混淆攻击,且少量检测数据篡改攻击的方法因不变量特征有限导致检测能力受限.针对这些问题,提出了一种基于数据特征的内核恶意软件检测方法,通过分析内核运行过程中内核数据对象的访问过程,构建了内核数据对象访问模型;然后,基于该模型讨论了构建数据特征的过程,采用动态监控和静态分析相结合的方法识别内核数据对象,利用EPT监控内存访问操作构建数据特征;最后讨论了基于数据特征的内核恶意软件检测算法.在此基础上,实现了内核恶意软件检测原型系统MDS-DCB,并通过实验评测MDS-DCB的有效性和性能.实验结果表明:MDS-DCB能够有效检测内核恶意软件,且性能开销在可接受的范围内.

引用

页码：3172 / 3191

页数：20

共 29 条

[1] 代码复用攻击与防御技术研究[D]. 陈平.南京大学 2012
[2] Detecting Kernel-Level Rootkits Using Data Structure Invariants
Baliga, Arati
Ganapathy, Vinod
Iftode, Liviu
[J]. IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING, 2011, 8 (05) : 670 - 684
[3] Live DM:Temporal mapping of dynamic kernel memory for dynamic kernel malware analysis and debugging. Rhee J,Xu D. Technical Report 2010-02.Purdue University at West Lafayette . 2010
[4] Dynamic detection of process-hiding kernel rootkit. Xu L,Su Z. Technical Report,CSE-2009-24,University of California at Davis . 2009
[5] A semantic-based malware detection system design based on channels. Ren P,Wang X,Wu C,Zhao B,Sun H. Information And Communication Technology . 2014
[6] Obfuscated malicious code detection with path condition analysis
Fan, Wenqing
Lei, Xue
An, Jing
[J]. Journal of Networks, 2014, 9 (05) : 1208 - 1214
[7] OPKH:轻量级在线保护内核模块中内核钩子的方法（英文）
田东海
李轩涯
胡昌振
闫怀志
[J]. 中国通信, 2013, 10 (11) : 15 - 23
[8] 基于VMM的操作系统隐藏对象关联检测技术
李博
沃天宇
胡春明
李建欣
王颖
怀进鹏
[J]. 软件学报, 2013, 24 (02) : 405 - 420
[9] 利用虚拟化平台进行内存泄露探测
汪小林
王振林
孙逸峰
刘毅
张彬彬
罗英伟
[J]. 计算机学报, 2010, 33 (03) : 463 - 472
[10] Comprehensive and Efficient Protection of Kernel Control Data. Jinku Li,Zhi Wang,Tyler Bletsch,Deepa Srinivasan,Michael Grace,Xuxian Jiang. IEEE Transactions on Information Forensics and Security . 2011

← 1 2 3 →