基于行为特征的BIOS固件Rootkit检测方法

摘要

本发明涉及一种基于程序行为特征的针对计算机BIOS固件Rootkit的检测方法，属于计算机安全技术领域，主要用于应对利用BIOS实现的攻击和可能出现的BIOSRootkit。所述基于行为特征的BIOSRootkit检测方法，包括步骤a，对待分析的二进制BIOS镜像文件进行解析，步骤b，对解析出的二进制文件，按静态控制流的方式对代码进行逆向，将代码片段中的指令语义等价的映射到中间表示，构建程序的控制流图CFG；步骤c，先对中间表示进行简化，然后根据行为特征库DB2中存储的可疑BIOSRootkit行为进行行为特征提取，根据行为特征库中的行为模板提取候选行为集合，采用逐步筛选的方法提取行为特征；步骤d，进行恶意行为可疑度判断，输出检测结果。

主权项

一种基于行为特征的BIOS固件Rootkit检测方法，其特征是包括以下步骤：步骤a，对待分析的二进制BIOS镜像文件进行解析，识别BIOS模块的特征字，根据特征字读取数据库中存储的两类信息，一类是模块结构信息，用于辅助逆向分析，另一类是对该模块的逻辑功能的形式化描述信息，用于辅助检测；步骤b，对解析出的二进制文件，按静态控制流的方式对代码进行逆向分析，并进行代码间隙扫描，通过对代码片段中的指令进行语义等价的映射方式，将代码片段映射到中间表示结构，构建程序的控制流图CFG；步骤c，先对中间表示进行简化，然后根据行为特征库DB2中存储的可疑BIOS Rootkit行为进行行为特征提取，根据行为特征库中的行为模板提取候选行为集合，采用逐步筛选的方法实现可疑行为定位和行为特征提取；步骤d，进行恶意行为可疑度判断，输出检测结果，根据BIOS Rootkit模式库DB3对所提取的可疑BIOS Rootkit行为进行行为关联性分析，将提取的行为进行组合与模式库中的BIOS Rootkit模式进行匹配，匹配程度最高的模式作为检测出的BIOS Rootkit实例，并按照各个行为在该模式中的比重赋予不同的权值，最后计算出可疑程度。