主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公编辑办公English
2018-2019年专刊出版计划 微信服务介绍 最新一期:2018年第8期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
陈志锋,李清宝,张平,丁文博.基于数据特征的内核恶意软件检测.软件学报,2016,27(12):3172-3191
基于数据特征的内核恶意软件检测
Data Characteristics-Based Kernel Malware Detection
投稿时间:2015-01-11  修订日期:2015-09-10
DOI:10.13328/j.cnki.jos.004927
中文关键词:  内核恶意软件  数据特征  内核数据对象  恶意软件检测
英文关键词:kernel malware  data characteristic  kernel data object  malware detection
基金项目:“核高基”国家科技重大专项(2013JH00103);国家高技术研究发展计划(863)(2009AA01Z434)
作者单位E-mail
陈志锋 解放军信息工程大学, 河南 郑州 450001
数学工程与先进计算国家重点实验室, 河南 郑州 450001 
xiaohouzi06@163.com 
李清宝 解放军信息工程大学, 河南 郑州 450001
数学工程与先进计算国家重点实验室, 河南 郑州 450001 
 
张平 解放军信息工程大学, 河南 郑州 450001
数学工程与先进计算国家重点实验室, 河南 郑州 450001 
 
丁文博 解放军信息工程大学, 河南 郑州 450001
数学工程与先进计算国家重点实验室, 河南 郑州 450001 
 
摘要点击次数: 1155
全文下载次数: 1438
中文摘要:
      内核恶意软件对操作系统的安全造成了严重威胁.现有的内核恶意软件检测方法主要从代码角度出发,无法检测代码复用、代码混淆攻击,且少量检测数据篡改攻击的方法因不变量特征有限导致检测能力受限.针对这些问题,提出了一种基于数据特征的内核恶意软件检测方法,通过分析内核运行过程中内核数据对象的访问过程,构建了内核数据对象访问模型;然后,基于该模型讨论了构建数据特征的过程,采用动态监控和静态分析相结合的方法识别内核数据对象,利用EPT监控内存访问操作构建数据特征;最后讨论了基于数据特征的内核恶意软件检测算法.在此基础上,实现了内核恶意软件检测原型系统MDS-DCB,并通过实验评测MDS-DCB的有效性和性能.实验结果表明:MDS-DCB能够有效检测内核恶意软件,且性能开销在可接受的范围内.
英文摘要:
      Kernel malwares are serious threat to the security of operating system. Existing kernel malware detection methods are mainly code view-based, which cannot detect the code reuse and code obfuscation attacks; and a small number of available detection methods for data attacks have limit detection capability due to the limited data invariants. To solve these problems, a kernel malware detection technique based on data characteristics is proposed. First, a kernel data object access model is built by analyzing the kernel object access process during the kernel running. Then, data characteristics building process is discussed based on the model. The process uses dynamic monitoring and static analysis methods to identify the kernel data objects, and employs EPT to monitor the memory access operations to build data characteristics. Finally, the kernel malware detection algorithm based on data characteristics is realized. With this groundwork, a kernel malware detection prototype system MDS-DCB is designed and implemented based on Bitvisor, and the effectiveness and performance overhead of MDS-DCB are evaluated by comprehensive experiments. The results show that MDS-DCB can effectively detect kernel malwares, and the performance penalty induced by MDS-DCB is acceptable.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利