基于数据完整性的内核恶意软件检测方法研究

基本信息
批准号:61902196
项目类别:青年科学基金项目
资助金额:25.00
负责人:朱枫
学科分类:
依托单位:南京邮电大学
批准年份:2019
结题年份:2022
起止时间:2020-01-01 - 2022-12-31
项目状态: 已结题
项目参与者:
关键词:
完整性验证安全度量操作系统安全机制操作系统内核恶意软件检测
结项摘要

Kernel malware is one of the most dangerous threats to operating systems. The mainstream malware detection tools apply the signature-based detection method. They can effectively detect the malware whose signature is within the database. However, they cannot catch up with unknown or polymorphic malware. This project is to explore a kernel malware detection method based on data integrity. This method does not rely on certain signature of malware. Its core idea is to measure the data integrity of operating system kernel and to detect kernel malware via its violation of data integrity at runtime. The research content mainly includes kernel data invariant integrity analysis method, kernel queue object integrity analysis method and the measurement method of these two kinds of integrities. This project is the further deepening and development of the research on the theory and technology of malware detection, which explores a new detection method to solve the detection problem of unknown or polymorphic malware. The data integrity based kernel malware detection method has a wide application prospect in operating system security, cyber space security and so on.

内核恶意软件是对操作系统最危险的威胁之一。当前主流的恶意软件检测工具采用基于恶意软件特征码的检测方法,这类检测方法能够有效的检测特征库中存在的恶意软件,但难以检测未知和变形的恶意软件。本项目拟探索一种基于数据完整性的内核恶意软件检测方法,这种方法不依赖于恶意软件的具体特征,其核心思想是对操作系统内核的数据完整性进行度量,通过内核恶意软件运行时对数据完整性的侵犯进行检测。研究内容主要包括内核数据不变量完整性分析方法、内核队列对象完整性分析方法和这两类数据完整性的度量方法。本项目是对恶意软件检测理论和技术研究的进一步深化和发展,为解决未知和变形的恶意软件检测问题探索一种新检测方法。基于数据完整性的内核恶意软件检测方法在操作系统安全、网络空间安全等领域具有广泛的应用前景。

项目摘要

恶意软件检测技术是操作系统安全和网络空间安全的重要支撑技术之一。本项目面向内核恶意软件检测的需求,研究一种基于数据完整性的内核恶意软件检测方法。这种方法不依赖于恶意软件的具体特征,其核心思想是对操作系统内核的数据完整性进行度量,通过内核恶意软件运行时对数据完整性的侵犯进行检测。本项目针对内核恶意软件检测问题,从内核数据不变量完整性分析、内核队列对象完整性分析和数据完整性度量等方面,探索了一些新的理论、方法和技术。主要研究结果包括如下几个方面。(1) 本项目针对内核数据不变量分析不够准确的问题,对内核源代码进行静态分析以获取内核的数据流,进而推断内核变量的期望值。同时结合动态分析,通过对比内核变量实时值与期望值,遴选出内核不变量。该方法提高了内核不变量分析的准确率。(2) 本项目提出一种内核队列对象分析方法,通过静态分析获取内核队列的数据结构,基于内核队列的数据结构特征,通过监测内核队列函数,为每一个内核队列对象生成其独有的签名,用于识别该对象的完整性是否遭到破坏。(3) 基于内核数据不变量完整性和内核队列对象完整性,本项目提出一种内核数据完整性的实时度量方法,通过度量内核数据完整性是否被破坏,能够有效的检测内核恶意软件。总之,本项目的研究成果在操作系统安全、网络空间安全等领域具有广泛的应用前景。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

农超对接模式中利益分配问题研究

农超对接模式中利益分配问题研究

DOI:10.16517/j.cnki.cn12-1034/f.2015.03.030
发表时间:2015
2

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
3

面向云工作流安全的任务调度方法

面向云工作流安全的任务调度方法

DOI:10.7544/issn1000-1239.2018.20170425
发表时间:2018
4

基于细粒度词表示的命名实体识别研究

基于细粒度词表示的命名实体识别研究

DOI:10.3969/j.issn.1003-0077.2018.11.009
发表时间:2018
5

基于全模式全聚焦方法的裂纹超声成像定量检测

基于全模式全聚焦方法的裂纹超声成像定量检测

DOI:10.19650/j.cnki.cjsi.J2007019
发表时间:2021

朱枫的其他基金

1

基于单相机的全向立体视觉系统研究

基于单相机的全向立体视觉系统研究

批准号:60575024
批准年份:2005
资助金额:23.00
项目类别:面上项目
2

面向柔性定制作业的工业机器人视觉理论与实现方法

面向柔性定制作业的工业机器人视觉理论与实现方法

批准号:U1713216
批准年份:2017
资助金额:300.00
项目类别:联合基金项目

相似国自然基金

1

移动恶意软件规避检测行为的机理与检测方法研究

批准号:61602121
批准年份:2016
负责人:杨哲慜
学科分类:F0205
资助金额:20.00
项目类别:青年科学基金项目
2

基于软件基因的恶意代码检测与分析技术研究

批准号:61802435
批准年份:2018
负责人:刘福东
学科分类:F0205
资助金额:23.00
项目类别:青年科学基金项目
3

基于Android的IoT恶意软件智能识别方法研究

批准号:61902262
批准年份:2019
负责人:牛伟纳
学科分类:F0205
资助金额:28.00
项目类别:青年科学基金项目
4

基于信息物理融合的电网数据完整性攻击检测方法

批准号:61772408
批准年份:2017
负责人:刘烃
学科分类:F0204
资助金额:63.00
项目类别:面上项目