-
题名基于数据特征的内核恶意软件检测
被引量:9
- 1
-
-
作者
陈志锋
李清宝
张平
丁文博
-
机构
解放军信息工程大学
数学工程与先进计算国家重点实验室
-
出处
《软件学报》
EI
CSCD
北大核心
2016年第12期3172-3191,共20页
-
基金
"核高基"国家科技重大专项(2013JH00103)
国家高技术研究发展计划(863)(2009AA01Z434)~~
-
文摘
内核恶意软件对操作系统的安全造成了严重威胁.现有的内核恶意软件检测方法主要从代码角度出发,无法检测代码复用、代码混淆攻击,且少量检测数据篡改攻击的方法因不变量特征有限导致检测能力受限.针对这些问题,提出了一种基于数据特征的内核恶意软件检测方法,通过分析内核运行过程中内核数据对象的访问过程,构建了内核数据对象访问模型;然后,基于该模型讨论了构建数据特征的过程,采用动态监控和静态分析相结合的方法识别内核数据对象,利用EPT监控内存访问操作构建数据特征;最后讨论了基于数据特征的内核恶意软件检测算法.在此基础上,实现了内核恶意软件检测原型系统MDS-DCB,并通过实验评测MDS-DCB的有效性和性能.实验结果表明:MDS-DCB能够有效检测内核恶意软件,且性能开销在可接受的范围内.
-
关键词
内核恶意软件
数据特征
内核数据对象
恶意软件检测
-
Keywords
kernel malware
data characteristic
kernel data object
malware detection
-
分类号
TP316
[自动化与计算机技术—计算机软件与理论]
-
-
题名基于聚类分析的内核恶意软件特征选择
被引量:14
- 2
-
-
作者
陈志锋
李清宝
张平
冯培钧
-
机构
解放军信息工程大学
数学工程与先进计算国家重点实验室
-
出处
《电子与信息学报》
EI
CSCD
北大核心
2015年第12期2821-2829,共9页
-
基金
核高基国家科技重大专项(2013JH00103)
国家863计划目标导向项目(2009AA01Z434)~~
-
文摘
针对现有基于数据特征的内核恶意软件检测方法存在随特征的增多效率较低的问题,该文提出一种基于层次聚类的特征选择方法。首先,分析相似度计算方法应用于数据特征相似度计算时存在的困难,提出最长公共子集并设计两轮Hash求解法计算最长公共子集;其次,设计基于最长公共子集的层次聚类算法,有效地将相似特征聚类成簇;在此基础上,设计基于不一致系数的内核恶意软件特征选择算法,大大减少特征数,提高检测效率。实验结果验证了方法的有效性,且时间开销在可接受的范围内。
-
关键词
数据特征
最长公共子集
层次聚类
特征选择
内核恶意软件
-
Keywords
Data signature
Longest common subset
Hierarchical cluster
Signature selection
Kernel malware
-
分类号
TP316
[自动化与计算机技术—计算机软件与理论]
-
