虚拟内存进程重构与恶意行为扩展识别模型
为了解决现有虚拟机的恶意行为分析技术检测点单一、抗干扰能力弱、检测结果可信度不高等问题,提出了一种基于虚拟内存进程重构和进程关系识别的虚拟检测技术.通过分析VMware虚拟内存特点,重构进程生命周期中的启动、隐藏、可疑操作、网络通信等序列化行为,并形式化描述为<名称关系、父子关系、时间关系、文件关系、通信关系、用户关系>六元组.进一步地,将六元组扩展为证据链并提出一种基于改进k-means算法的恶意行为识别模型,通过计算不同进程六元组之间的相似度,结合先验知识,使用恶意进程集初始聚类中心,进而辨识出虚拟内存中的恶意进程及其关联性和依赖关系.测试结果表明:1000个样本中恶意进程的检出率高达91.98%,相比传统内存取证技术该方法重构出的虚拟内存进程信息更加充分,恶意行为判定结果的准确性、可靠性更高.
虚拟内存、进程、重构、恶意行为、扩展识别模型、k-means
44
TP391(计算技术、计算机技术)
四川省教育厅青年基金资助项目15ZB0026
2018-05-11(万方平台首次上网日期,不代表论文的发表时间)
共8页
538-545