一種基于數(shù)據(jù)匹配的COM惡意調(diào)用溯源研究
所屬分類:技術(shù)論文
上傳者:wwei
文檔大?。?span>3535 K
標(biāo)簽: 高級(jí)持續(xù)性威脅 惡意軟件檢測(cè) 組件對(duì)象模型
所需積分:0分積分不夠怎么辦?
文檔介紹:針對(duì)高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)利用組件對(duì)象模型(Component Object Model,COM)接口進(jìn)行行為混淆,導(dǎo)致傳統(tǒng)溯源方法難以有效追蹤的問(wèn)題,提出了一種基于數(shù)據(jù)匹配的實(shí)時(shí)溯源系統(tǒng)COMLink。該系統(tǒng)利用COM調(diào)用中客戶端與服務(wù)器進(jìn)程間數(shù)據(jù)交換的數(shù)據(jù)關(guān)聯(lián)特性,通過(guò)前綴相似度算法實(shí)現(xiàn)對(duì)敏感行為的線程級(jí)精確溯源。COMLink能夠跨進(jìn)程追蹤C(jī)OM調(diào)用鏈,即使在惡意軟件利用受信任進(jìn)程執(zhí)行惡意行為時(shí)也能有效溯源。實(shí)驗(yàn)結(jié)果表明,COMLink在包含6個(gè)已知可利用COM接口的測(cè)試環(huán)境中,能夠以82%的準(zhǔn)確率追蹤基于COM的攻擊行為,COMLink對(duì)系統(tǒng)性能的影響可忽略不計(jì),性能損失小于2%,顯著提升了APT檢測(cè)和歸因能力。
現(xiàn)在下載
VIP會(huì)員,AET專家下載不扣分;重復(fù)下載不扣分,本人上傳資源不扣分。