计算机应用 ›› 2015, Vol. 35 ›› Issue (3): 756-760.DOI: 10.11772/j.issn.1001-9081.2015.03.756

• 信息安全 • 上一篇    下一篇

基于运动轨迹分析的启发式木马检测系统

钟明全1, 范宇2, 李焕洲1, 唐彰国1, 张健1   

  1. 1. 四川师范大学 网络与通信技术研究所, 成都 610066;
    2. 四川省标准化研究院 信息发展部, 成都 610031
  • 收稿日期:2014-10-09 修回日期:2014-11-30 出版日期:2015-03-10 发布日期:2015-03-13
  • 通讯作者: 钟明全
  • 作者简介:钟明全(1975-),男,四川内江人,副教授,硕士,主要研究方向:通信与信息安全;范宇(1976-),男,四川隆昌人,高级工程师,硕士研究生,主要研究方向:物品编码与信息追溯;李焕洲(1974-),男,四川阆中人,教授,博士,主要研究方向:可信计算;唐彰国(1978-),男,广西桂林人,副教授,硕士,主要研究方向:信息安全;张健(1975-),女,四川宜宾人,副教授,博士,主要研究方向:网络安全
  • 基金资助:

    四川省教育厅项目(08ZA043)

Heuristic detection system of Trojan based on trajectory analysis

ZHONG Mingquan1, FAN Yu2, LI Huanzhou1, TANG Zhangguo1, ZHANG Jian1   

  1. 1. Institute of Network and Communication Technology, Sichuan Normal University, Chengdu Sichuan 610066, China;
    2. Information Development Department, Sichuan Institute of Standardization, Chengdu Sichuan 610031, China
  • Received:2014-10-09 Revised:2014-11-30 Online:2015-03-10 Published:2015-03-13

摘要:

针对主动防御技术检测准确率不高的问题,提出了一种基于运动轨迹分析的启发式木马检测系统。提出了两种典型的木马运动轨迹,利用运动轨迹上的行为数据,结合判定规则与算法,实现对可疑文件危险等级的检测。实验结果表明,该系统检测未知木马性能优于传统方法,并且能够检测一些特殊木马。

关键词: 主动防御, 虚拟机, 运动轨迹, 文件捆绑, 隐藏进程

Abstract:

Concerning of the low accurate rate of active defense technology, a heuristic detection system of Trojan based on the analysis of trajectory was proposed. Two kinds of typical Trojan trajectories were presented, and by using the behavioral data on Trojan trajectory the danger level of the suspicious file was detected with the decision rules and algorithm. The experimental results show that the performance of detecting unknown Trojan of this system is better than that of the traditional method, and some special Trojans can also be detected.

Key words: active defense, Virtual Machine (VM), trajectory, file binding, hidden process

中图分类号: