內(nèi)容簡(jiǎn)介： 針對(duì)高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）利用組件對(duì)象模型（Component Object Model，COM）接口進(jìn)行行為混淆，導(dǎo)致傳統(tǒng)溯源方法難以有效追蹤的問(wèn)題，提出了一種基于數(shù)據(jù)匹配的實(shí)時(shí)溯源系統(tǒng)COMLink。該系統(tǒng)利用COM調(diào)用中客戶端與服務(wù)器進(jìn)程間數(shù)據(jù)交換的數(shù)據(jù)關(guān)聯(lián)特性，通過(guò)前綴相似度算法實(shí)現(xiàn)對(duì)敏感行為的線程級(jí)精確溯源。COMLink能夠跨進(jìn)程追蹤C(jī)OM調(diào)用鏈，即使在惡意軟件利用受信任進(jìn)程執(zhí)行惡意行為時(shí)也能有效溯源。實(shí)驗(yàn)結(jié)果表明，COMLink在包含6個(gè)已知可利用COM接口的測(cè)試環(huán)境中，能夠以82%的準(zhǔn)確率追蹤基于COM的攻擊行為，COMLink對(duì)系統(tǒng)性能的影響可忽略不計(jì)，性能損失小于2%，顯著提升了APT檢測(cè)和歸因能力。