基于多维交叉视图的rootkit行为辨识方法

摘要

本发明涉及一种基于多维交叉视图的rootkit行为辨识方法，属于计算机与信息科学技术领域。本发明首先利用多种rootkit检测方法对操作系统进行检测，构造相应维数的检测视图，每一维视图代表相应的检测结果；若某几维视图未出现检测项而在其他所有视图中都出现了检测项，说明rootkit针对这几种检测方法采用了相应的规避手段（即隐藏方法）；然后通过获悉的规避手段确定rootkit的污染数据是否可以被恢复，对可以恢复的污染数据进行恢复操作；最后重新对操作系统进行检测，确保污染数据被成功恢复。本发明可以对rootkit的具体行为和隐藏方法进行识别，不仅适用于桌面计算机的各种操作系统，也适用于手机、平板电脑等移动计算平台系统。

主权项

基于多维交叉视图的rootkit行为辨识方法，其特征在于所述方法包括如下步骤：步骤1，为生成多角度多层次的视图，首先利用针对操作系统的rootkit的检测方法A1、A2……An（n的值取决于针对这种rootkit隐藏项的检测方法的种类）构造n维视图P1、P2……Pn（即每种检测方法对应的检测结果）。步骤2，若视图Pi（1≤i≤n）中未出现检测项而在其他所有视图中都出现了检测项，说明rootkit利用了针对检测方法Ai的规避手段Hi来隐藏检测项。若多个视图中均未出现检测项，说明rootkit采用了针对多种检测方法的规避手段Hγ（γ是β的子集，其中β是由1到n构成的集合。检测方法、规避手段、视图的对应关系由下角标决定）。所述检测项为rootkit要隐藏的踪迹，如进程、文件、端口、驱动等。步骤3，在步骤2的基础上，通过得到的rootkit隐藏方法Hγ确定rootkit的污染数据是否可以被恢复。设可恢复的隐藏方法的集合为Φ，若Hγ与Φ存在交集，说明交集中的隐藏方法的隐藏项可以被恢复，对可恢复的系统污染数据进行恢复操作。步骤4，再次利用检测方法A1、A2……An对系统进行检测，确保可恢复的污染数据已经被成功恢复。