《时代印记:通过内核活动中的时间异常检测Rootkit》
《Digital Threats: Research and Practice》:Trace of the Times: Rootkit Detection through Temporal Anomalies in Kernel Activity
【字体:
大
中
小
】
时间:2025年11月07日
来源:Digital Threats: Research and Practice
编辑推荐:
检测内核rootkit的新方法通过注入探针测量系统调用时间戳分布,利用统计测试发现异常时间偏移,公开数据集测试F1分数达98.7%。
摘要
内核空间rootkit为攻击者提供了对受损系统的永久性高权限访问,通常是复杂攻击链中的关键组成部分。同时,它们能够实现隐蔽操作,因此难以被发现。为此,rootkit会将代码注入内核函数中,使其对用户来说不可见,例如通过篡改文件枚举来实现。现有的检测方法存在不足,因为它们依赖于无法检测新型rootkit的签名,或者需要关于被检测rootkit的领域知识。为了解决这一挑战,我们的方法利用了rootkit攻击的目标内核函数在执行额外代码时运行时间会增加这一事实。本文描述的框架将探针注入内核,以测量相关系统调用中函数的时间戳,计算函数执行时间的分布,并使用统计测试来检测时间偏移。我们在公开可用的数据集上对开源实现的评估表明,在五种不同系统状态下的检测准确率高达98.7%。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
