| 发明名称 | 基于多维交叉视图的rootkit行为辨识方法 | ||
| 摘要 | 本发明涉及一种基于多维交叉视图的rootkit行为辨识方法,属于计算机与信息科学技术领域。本发明首先利用多种rootkit检测方法对操作系统进行检测,构造相应维数的检测视图,每一维视图代表相应的检测结果;若某几维视图未出现检测项而在其他所有视图中都出现了检测项,说明rootkit针对这几种检测方法采用了相应的规避手段(即隐藏方法);然后通过获悉的规避手段确定rootkit的污染数据是否可以被恢复,对可以恢复的污染数据进行恢复操作;最后重新对操作系统进行检测,确保污染数据被成功恢复。本发明可以对rootkit的具体行为和隐藏方法进行识别,不仅适用于桌面计算机的各种操作系统,也适用于手机、平板电脑等移动计算平台系统。 | ||
| 申请公布号 | CN103150508B | 申请公布日期 | 2015.10.21 |
| 申请号 | CN201310075013.0 | 申请日期 | 2013.03.08 |
| 申请人 | 北京理工大学 | 发明人 | 罗森林;闫广禄;潘丽敏;郭亮;张驰 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 代理人 | ||
| 主权项 | 基于多维交叉视图的rootkit行为辨识方法,其特征在于所述方法包括如下步骤:步骤1,为生成多角度多层次的视图,首先利用针对操作系统的rootkit的检测方法A<sub>1</sub>、A<sub>2</sub>……A<sub>n</sub>构造n维检测结果视图P<sub>1</sub>、P<sub>2</sub>……P<sub>n</sub>,n的取值取决于针对这种rootkit隐藏项的检测方法的种类;步骤2,由于在未受到rootkit攻击的情况下,所有视图均会出现检测项,所以,若视图P<sub>i</sub>中未出现检测项而在其他所有视图中都出现了检测项,说明rootkit利用了针对检测方法A<sub>i</sub>的规避手段H<sub>i</sub>来隐藏检测项,i的取值在1到n之间,若多个视图中均未出现检测项,说明rootkit采用了针对多种检测方法的规避手段H<sub>γ</sub>,H<sub>γ</sub>是所有攻击方法的子集,所述检测项为rootkit要隐藏的踪迹,如进程、文件、端口、驱动等;步骤3,在步骤2的基础上,通过得到的rootkit隐藏方法H<sub>γ</sub>确定rootkit的污染数据是否可以被恢复,设可恢复的隐藏方法的集合为Φ,若H<sub>γ</sub>与Φ存在交集,说明交集中的隐藏方法的隐藏项可以被恢复,对可恢复的系统污染数据进行恢复操作;步骤4,再次利用检测方法A<sub>1</sub>、A<sub>2</sub>……A<sub>n</sub>对系统进行检测,确保可恢复的污染数据已经被成功恢复。 | ||
| 地址 | 100081 北京市海淀区中关村南大街5号 | ||