Journalof King Saud University沙特国王大学沙特国王大学学报www.ksu.edu.sawww.sciencedirect.comrootkit揭示系统资源的优化K. Muthumanickam*,E. 伊拉瓦拉桑计算机科学与工程系,Pondicherry工程学院,Puducherry 605 014,印度接收日期:2014年1月22日;修订日期:2014年6月10日;接受日期:2014年10月23日2015年9月10日在线发布摘要恶意rootkit是一系列程序的集合,其目的是在未经用户许可的情况下感染和监视受害者计算机。在受害者被欺骗后,远程攻击者可以很容易地造成进一步的损害。为了感染,妥协,监视器,rootkit采用本地应用程序编程接口(API)挂钩技术。为了揭示隐藏的rootkit,当前的rootkit检测技术检查不同的数据结构,这些数据结构包含对本机API的引用。为了验证这些数据结构,需要大量的系统资源。这是因为这些数据结构中的API数量相当大。博弈论方法是模拟网络攻击的有效数学工具。本文运用博弈论的方法建立了资源消耗优化的数学模型。据我们所知,这是第一个提出优化资源消耗的工作,同时使用博弈论揭示rootkit的存在。采用非合作博弈模型对该问题进行了讨论。分析和仿真结果表明,该博弈模型通过有选择地监控Windows平台上的API数量,可以有效地减少资源消耗。©2015作者。制作和主办:Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍今天,大约90%的互联网操作系统运行Windows操作系统(W3Schools)。这使得远程攻击者能够轻易地破坏许多计算机*通讯作者。电 子 邮 件 地 址 : kmuthoo@pec.edu ( K. Muthumanickam ) ,eilavar-asan@pec.edu(E. Ilavarasan)。沙特国王大学负责同行审查在受害者电脑中获得入口点后,恶意rootkit是指一组软件例程,旨在隐藏它们的存在和其他恶意活动,并使攻击者能够控制受害者计算机(Alfregh,2006)。此外,rootkit也可以用作后门来监视用户或系统然后,攻击者可以捕获有关最终用户或计算机的敏感信息。由于85%的恶意软件正在开发今天的意图影响- ING Windows操作系统收获金钱 ( 王 和 Dasgupta , 2007 年 ) , 我 们 专 注 于 Windowsrootkit检测领域。为了启动恶意活动,Windows Rootkit采用了一种称为“挂钩”的机制然而,在这方面,http://dx.doi.org/10.1016/j.jksuci.2014.10.0041319-1578© 2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。制作和主办:Elsevier关键词计算机安全非合作对策理论;Rootkit;资源优化; Windows操作系统rootkit揭示系统资源的优化387rootkit需要访问本机API来完成任务。在过去已经提出了许多方法,依赖于基于签名的方法。有一些有效的反Rootkit工具也可用于动态分析Rootkit恶意软件的行为。但是,它们无法动态检测本地API钩子。因此,找到一种能够检测恶意Native API钩子rootkit以防止用户空间和内核空间的机制是一个挑战性的问题。为了分析Windows恶意rootkit活动的经济方面并优化要监控的资源,我们研究了一种博弈论方法,该方法对防御者和攻击者之间的关系进行建模。我们的博弈论方法将引导防御者拥有最佳资源来揭示rootkit的存在。为了达到最终目标,攻击者可能在最坏的情况下通过利用最大资源来最大化他的保护,而防御者通过 监 控 最 少 数 量 的 API 。 Rootkit Revealing Module(RRM)运行在主机计算机上时,有必要持续监视更多数量的用户空间对象和内核空间对象,而不管攻击的可能性如何。为了解决这个问题,我们提出了一个博弈论的方法来减少被RRM监控的监控API,而不损失其检测精度。根据消耗的资源量和预期的最大攻击概率选择受监控的API。入侵检测系统的博弈论模型有助于在线性时间内分配有限资源以检测大型网络中的重大威胁的决策过程。因此,我们选择了一种博弈论方法来模拟RRM和Rootkit恶意软件(RM)API挂钩攻击之间的交互,以找到要监控的API的最佳数量。这里有两个参与者:RRM和RM。在此模型中,RRM可以选择是否监控系统,以及监控多长时间。另一方面,RM可以选择攻击或不攻击,或延迟攻击时间来躲避RRM。由于计算机攻击是重复发起的,我们选择了一个重复的非合作博弈模型。最终结果指导RRM针对攻击场景使用最少数量的API。论文的其余部分排列如下:第2节讨论相关工作。第3节定义问题陈述。我们将在第4节解释一个博弈论模型。此外,委员会认为,第5节介绍了一个案例研究。第6节给出了仿真结果。最后,在第7节中,我们总结了拟议的工作。2. 相关作品随着恶意软件编写者设计出违反计算机安全策略的新方法,许多研究人员专注于开发一种新技术来对抗它们。已 经 提 出 了 一 种 基 于 贝 叶 斯 概 率 的 入 侵 系 统(Altwaijry和Algarny,2012),其中朴素贝叶斯分类器主要用于识别四种不同类型的攻击。该系统使用KDD数据集进行训练,以获得更好的检测率。Abdullah Al-Kadhi(2011年)的作者提出了一份关于沙特阿拉伯王国垃圾邮件的评估报告该研究报告还讨论了不同国家的反垃圾邮件工作和新兴的反垃圾邮件技术。的这篇论文为研究垃圾邮件类型攻击的研究人员提供了一个基础。另一种方法(Alfantookh,2006年),特别是用于检测DoS攻击。他们的系统使用神经网络的思想来分类网络流量数据包中的已知和未知攻击,并取得了更好的效果。在这方面,只有少数作品解决了资源优化的问题。今天,游戏理论正被有效地应用于解决许多现实世界的问题。在计算机安全领域,特别是在入侵检测系统(IDS)领 域 , 已 经 提 出 了 很 多 想 法 。 但 是 , 利 用 博 弈 论 对windows平台下恶意rootkit检测建模的方法有限。博弈论获得了真实性,因为约翰冯诺依曼和摩根斯坦,他们在2004年出版了一本书(诺依曼等人,2004年)。此后,它被应用于生物学、经济学、社会学等领域(博弈论)。博弈是两个或两个以上具有不同策略的参与者之间的博弈。玩家在游戏中的每一个动作都会得到一个回报/奖励。收益可以是正值也可以是负值。游戏解决方案指导每个玩家了解他们对抗对手的最佳策略。入侵检测一直是一个活跃的研究课题,在检测潜在的攻击。已经有有限的方法解决了使用博弈论来提高检测模块的性能。Liu等人(2002)提出了一种在封闭网络中优化入侵检测策略的博弈模型。在Liu(2005)中,作者讨论了预测 网 络 攻 击 的 博 弈 论 方 法 。 在 Kodialam 和 Lakshman(2003)中,作者开发了一个博弈论框架来制定入侵者和服务提供商之间的博弈交互。入侵者的最优策略是最小化被 检 测 到 的 概 率 , 而 服 务 提 供 者 在 Alpcan 和 Baskar(2004)中,作者建立了一个非合作非零和博弈模型来讨论连续核版本。作者证明了纳什均衡的存在性,并讨论了博弈的动态性。一些方法(Pacha和Park,2006; Liu等人,2006年)已经在ad-hoc网络上提出。Liu等人(2008)提出了一种非合作博弈模型,使主机入侵检测系统能够优化要监视的资源。此外,一个多级缓冲区过流攻击作为一个案例研究,并得出结论,他们的模型利用最小的对象。在Chen和Leneutre(2009)中,作者使用博弈论方法解决了异构网络中的入侵检测问题。他们把这个问题当作攻击者和防御者之间的非合作博弈来讨论。为了实现最优的系统价值,他们推导出防御者的最优策略和最小的资源消耗。Otrok等人(2008)提出了博弈论模型来讨论有线网络中的入侵检测问题。一个抽样策略已被推导出来,以减少成功率的后卫。从文献调查中,我们确保没有一项工作解决了优化系统资源数量的问题,特别是要监视的API数量,同时揭示了rootkit的存在。受此启发,我们提出了一个博弈论模型来检测rootkit的存在,通过监视Windows操作系统中的最小数量的API。参考文献Luo et al.(2010)讨论了在计算机网络中管理员和攻击者之间进行的非合作、非零和游戏。作者指出388K. Muthumanickam,E. 伊拉瓦拉桑博弈论模型使管理员能够跟踪攻击者的每一个动作,使得防止攻击者在Hou等人(2011)中,讨论了在上行链路多小区正交频分复用(OFDMA)中使用博弈论方法的资源优化。他们的方法有两个重要步骤。首先,在上行链路中的子载波分配已经完成使用整数规划。其次,利用博弈论模型对功率分配进行了优化。通过仿真,验证了分布式和集中式模型的成功融合。Barth等人(2012年)提出了一个基于学习的维权者反应性安全战略。本文认为,当主动防御者保护实际上不可能发生的攻击时,所提出的反应性防御者策略可以胜过主动防御者。今天,许多rootkit检测器通过获取和检查内存中页面的代码和数据部分来检测恶意rootkit攻击。然而,验证/监控大代码段是非常困难和耗时的过程。为了解决这个问题,Kinebuchi等人(2013)提出了有限的本地内存,这是一种以硬件为中心的技术,可以监控目标操作系统的系统完整性,而不会受到恶意rootkit攻击的感染。他们的方法不需要虚拟化的支持。很少有文章讨论博弈论模型在云计算环境中的应用。Pilai和Rao(2014)提出了一个博弈论模型,用于使用联盟形成和不确定性技术的云资源机制的最优资源分配。他们的方法有效地为每台计算机分配最佳资源,以在云环境中为更多的用户请求提供服务。在另一篇论文Xu和Yu(2014)中,设计了一种博弈论算法来获得更好的云资源利用率。作者通过在将物理服务器映射到虚拟机时减少云资源分解来实现这一目标。提出的基于博弈论的资源分配算法实现了更高的资源利用率相比,现有的资源分配技术。3. 动机入侵检测系统(IDS)被定义为用于监视计算机系统(基于主机的IDS)或网络(基于网络的IDS)中发生的活动以检测是否发生恶意攻击的软件或硬件。传统的HIDS监视大量的资源,而不管攻击的类型是在受害者计算机上发起的。我们选择一个两人重复非合作的游戏模型,因为恶意代码攻击试图反复妥协受害者的计算机。在这里,我们特别考虑原生API钩子攻击,它可能是恶意Rootkit恶意软件的一部分。我们使用博弈论的方法来优化资源消耗,同时检测到这种攻击。我们的模型根据预期的攻击场景动态选择Rootkit恶意软件针对的特定API。3.1. 问题陈述问题的设置是双重的。首先,我们概述了描述博弈论模型中的参与者的博弈,这是两个玩家之间的游戏。接下来,我们为玩家设计策略。3.2. 博弈方法我们假设这个博弈是在两个参与者之间进行的:RRM和RM。这里RM是攻击者,RRM是防御者。RM的目标是使用在最坏的情况下)从受害者的计算机,意图执行和发动一些非法活动。恶意rootkit攻击成功时,至少' m '个API的' n '个假设rootkit攻击不会在单个步骤中实现因此,我们将我们的场景定义如下:RRM检测初始感染,并根据过去的经验或历史信息预测在不久的将来发起的下一次攻击然后,RRM立即监视附加的API达3.3. 博弈策略为了操纵博弈策略,我们推导出一个RRM和RM之间的相互作用的博弈模型我们考虑(AS,CA,AR,T),其中AS是配备有我们称为防御者的RRM的API的集合,CA是用于监视附加API的系统成本,AR是攻击者的集合,并且T={1,2,.. . n}是目标计算机的集合。为了最小化中间计算,我们选择了一个两人非合作博弈,其中重复的次数取决于攻击步骤的数量。我们还假设两个参与者都知道他们的策略和效用函数。RRM的可能策略是{不关注,监控}。如果RRM检测到rootkit攻击,它可以选择忽略当前任务或监视。在监控的情况下,RRM将选择更多其他重要的API进行监控。要监控的API的类型和监控时间的长度高度依赖于RRM的信息库。监测时间将根据攻击场景从信息库中选择。当RRM检测到将在多个步骤中执行的初始rootkit攻击时,它将能够检测到下一个可能的攻击操作。与此同时,RRM将选择增加其他重要API的监测。完成额外任务后,RRM恢复监控标准预定义数量的API。另一方面,rootkit攻击者(即RM)的可用策略是{end_process,proceed,waiting}。策略 “end_process” 表 示 放 弃 攻 击 以 不 被 检 测 到 ; 策 略“proceeds”表示继续进行预定义的下一步,策略“wait”表示在一段时间后启动下一个攻击步骤。由于预测每个攻击动作的延迟时间是困难的,我们将假设延迟时间来推导模型。4. 制定游戏我们假设RRM已安装在具有Windows操作系统的新副本的计算机中。因此,RRM将只监视被监视系统中的重要API,因此它具有稳定的系统资源成本。要由RRM监视的API的集合被表示为Ac ={a1,a2,. . an}。API由RRM持续监测,rootkit揭示系统资源的优化389-←←-:RRMQX我Jy我J12M我128>n只要它处于活动状态。现在我们将Cm表示为在时间在博弈模型中,RRM的预期成本计算如下:XmXnCm² r× a其中URRM联系我们URRMijPiQj监测单个API的时钟脉冲,并使用两个事件的两个本地时间戳计算时间偏差。现在计算当RRM选择“监视”策略时增加的总系统资源成本a这可以表示为:a/4每增加一个API监控所有受保护的API所需的时间¼Cmtma2A其中,URRMij是RRM在选择策略i时的成本RM选择策略。是RRM的策略i的概率,其中i={1,2,.. . ,m},m是可用的策略选项,Q j是RM的策略j的概率,其中j ={12,. . ,n},并且n是可用的策略选项由于参与人是理性的,RM总是希望最小化RRM的预期收益因此,RM将计算URRM相对于 Pi 的一阶导数。RRM总是想最大化-提高安全级别,即,通过赚取最低收益。那么,我们使用maximin其中tm是监测单个API的额外时间。然后,将这些正规函数转换为效用函数将便于我们应用博弈论概念,并给出如下:R <$fatm; aca tm; a其中c是描述RRM的系统成本的权重参数如果RRM检测到rootkit攻击,它将获得x的效用增益,x是造成损害的成本。因此,RRM的效用函数及其可能的结果是:x-Cm检测和停止U¼<-bxtm6tdP定理5.1. 定理1.两个局中玩家:{Rootkit恶意软件(RMPx),Rootkit揭示模块(RRMPy)}动作:A(Px)={end_process(a1),proceed(a2),wait(a3)} A(Py)={no_action(b1),monitor(b2)}然后,可能的动作是:{(a1,b1),(a2,b2),(a3,b3)}。P x的效用是Ua;b,P y的效用是Ua; b。一>:x-Cmtmtd其中td>0-bx-Cm tmtd其中tmP0<使用特定概率的混合策略表示,表示为Px=fp;p;:::;pg,其中,p/Prrai是概率,其中,tm是由于附加的要监控的API,td是启动API的延迟要玩的动作ai的能力。 同样,对于防守者来说,Py=fq;q;:;qg. 对于每个随机化策略对(p,近期攻击或当前攻击,b是q),则收益S(p,q)表示为:RRM。 另一方面,当攻击成功时,n攻击者将获得x0,x0否则。 我们将Ca定义为攻击者使用的安全API,以使下一步成功。这表示为:Ca td r× a其中r是监控单个附加API的时钟脉冲数,td是延迟时间。然后,我们定义攻击者的成本效用函数,由下式给出R0¼fCatdC0CatdC其中c0是定义成功攻击的奖励的比例因子。因此,RM的效用函数由下式给出:8>0 停止Sp;qpiSai;bjqj联系我们我们用P和Q来表示Px和Py的所有可用混合策略.因为Py另一方面,Px对于属于P的每个混合策略p,P y的安全级别定义为:v 1 p min S p ; q。由于Py想要最大化最小收益,它必须URM¼x0tm6tdx0-Catd6tm其中tmP0-x0-Ca td6tm其中td>0选择策略pω使得v1<$pω<$Pv1<$p<$8p2P。设v表示最大安全级别,即v1¼v1pω。则对于所有其他混合策略,v1p1maxv1pPv1q:表1以一般格式示出了用于RRM和RM两者的增加的系统资源。S1表示RRM选择的不同策略,其中,p此外,v1 1/4 minSpω;q6Spω;q8q2Q2012年时间和监测的API将有所不同。5. 评价由于双方都可以随机选择一种策略,我们选择了一种混合策略来解决这个博弈。在我们当量(1)表示生成v1的策略是最大化安全级别的最佳策略。当量(2)意味着v1是Py能获得的最小收益。如果Px不能聪明地玩,那么Py将获得比v1更多的收益。类似地,如果Py不选择p,那么Py可以获得较低的收益. pω策略称为极大极小策略.Q390K. Muthumanickam,E. 伊拉瓦拉桑13 33--11表1效用推导。球员结束过程进行延迟时间变化td6tmtd> tm无_注意Si td; aix;0x-Cmi;0-bx;-x0x-Cmi;-x0x-Cmi; -x0-Caix-Cmi; -x0-Cai-bx;x0 -Cai-bx -Cmi;x0-Cai5.2. 帕累托最优RRM的监控器(m)策略监控最佳数量的API的分配,这不能允许提高Rm的具体地说,我们证明了策略a是强帕累托最优的。定义1. (帕累托最优)。如果不存在策略m,则策略m是帕累托最优的|= m使得8aQamj> Qam。定义2. (强帕累托最优)。如果不存在策略m,则策略m是强Pareto最优的|=m使得8aQa<$mj<$PQa <$m<$p,并且存在k个变换使得Qk<$mj<$p> Qk <$m<$p。提案1. 策略m是帕累托最优的。证据 为了简单起见,让我们考虑e = 1。 由于S Final的策略分配向量为1/4 S First,因此没有策略可以产生更高的回报。也不存在战略m| =m最终可以赚取更高的回报,使所有阶段同时。最后,为了证明强帕累托最优性质,证明RRM可以实现更高的收益而不影响其在m的任何阶段的最优收益就足够了。H定理2. 策略m是强帕累托最优的。证据对API子集A1加工的各个阶段主题进行了归纳论证一个2:::::的英雄美洲首先,我们考虑单个API,A1={1},同样,如在证明中所证明的,命题1,检测到消耗S最终不能被改变。设e为P2。假设集合Ae-1不能以一种更好的方式修改它们的消耗 回报现在 看在的子集的的apiAe¼Ae[feg.每个阶段e中的API可以被划分为两个不相交的子集:N^e(其中消耗在第h阶段或之后被设置的API)和Ne=N^e(其中消耗在第h阶段已经被固定的API由于后者的API已经饱和,其API的增加是无效的因为这不能增加eth阶段收益的增加(由于阶段Ae-1中的API处理速率限制但是,如果有当APIs的热情发生变化时,某个阶段Ae-1的收益也会发生变化,这与归纳的说法相矛盾。剩余的API在N ^ e中的每个阶段中的第th阶段中以放弃阶段e的最大收益的模式分配。如果在N ^ e中对API的消耗量进行策略mFinal的任何改变,都会得到较低的收益,即:最佳API数量。H定理3. 博弈G中的一个策略选择(p*,q*)被称为NE,如果没有一个局中人可以单方面地偏离它的策略来增加它的效用。证据简而言之,无论是RM还是RRM,都不能单方面偏离其当前策略来增加其效用。H5.3. 为例我们做了一个案例研究来评估和模拟我们的游戏模型。由于延迟时间在发动不久的将来的攻击将不同的攻击,让我们设置它从历史数据。我们从http://www.offensivecomputing.net 上 收 集 了 100 个 不 同 的rootkit样本,这些样本同时采用了用户态钩子和内核态钩子,并在WinXP虚拟机上进行了分析。通过观察,大多数rootkit样本会影响常见的本机API函数,从而在受害计算机上执行非法活动。RRM的信息库包含最常受影响的本机API函数及其各自的动态链接库(.dll)文件。我们的评估描述了最初的攻击动作后的游戏;在我们的情况下,它感染了RRM检测到的受害者计算机中的所有可执行文件。现在,RRM将根据其关于攻击场景中感染可执行文件后即将发生的攻击的情报,即从(不关注,将待监视的附加API增加50,并监视持续时间400 s、900 s和1500 s)开始采取狭义行动。同样,我们选择c= 2,d=0.020,x=3500,x0=2500。 表2显示了第一轮的操作结果。正如我们前面提到的,参与者是理性的,攻击者也知道防御者的策略,并会试图最大化其收益。使用Gambit工具计算Px和PY的优化结果。表3和表4包含表2的游戏结果。表2一般IAT钩。结束过程无_关注3500,0400 2700,0900 1100,01 500 500,0进行-3500,2000两千七,三千1100,-3000五百,-三千800-3500,900-4300,9001100,-4100500,-41001200-3500,300-4300,300五百,四千七百-5900,300rootkit揭示系统资源的优化391最后,我们用表5所示的四种不同策略形成了一般Rootkit恶意软件检测的收益矩阵。为了简单起见,我们使用二进制值来表示rootkit检测模块的输出,即值1表示成功,值0表示失败。6. 仿真结果我们选择了10个不同的rootkit样本,采用挂钩技术,从运行的进程,建立RRM的信息库。这些示例在dll、API及其相应函数方面彼此不同。对于每一种情况,我们都模拟了一个博弈论模型来计算收益矩阵。根据计算的收益矩阵,使用Gambit工具生成纳什均衡。每个场景模拟10次,在我们的方法来计算其相应的效用资源。用MatLab软件求出各分量的平均值并绘制成图.此外,同样的10个不同的样本在传统的方法进行模拟,并计算相应的资源价值,以发现差异。图1显示了我们的模型比传统方法消耗更少的资源。图2描述了我们模型的检测精度。X轴说明了不同的Rootkit恶意软件样本的不同情况. Y轴示出了检测率。我们认为传统的入侵检测系统的准确率是95%(Liu et al.,2008年)。从图2中,我们保证我们的模型的检测准确度与transmittance检测准确度相似,差异很小(1%)。这是因为,我们的系统不会专注于检测受害者计算机上的所有类型的恶意软件。相反,我们的系统运行在随机间隔检测Rootkit恶意软件的攻击,通过监控本地API挂钩。考虑到上述两个图表,我们可以确保我们的方法可以大大节省系统资源消耗,而不会失去传统的检测精度。 由于需要增加计算资源来实现更好的性能,我们的模型非常适合于在有限资源下运行的主机。6.1. 一个进攻者和一个防守者虽然多个恶意软件攻击可以尝试在一个受害者的计算机上,我们只专注于优化资源消耗的RRM在恶意rootkit攻击,使用本机API挂钩技术。我们模拟和建模恶意rootkit攻击与一个攻击者(RM)和一个防御者(RRM)。 RM资源P和RRM资源Q最初都被设置为1。假设RM和RRM都专注于合理的本机API,例如六个API。当x*= 1,y*=1时,则pωi=0:00074,qωi=0:447,Nmin=6。我会计算-late(URM)max表示RRM的最大收益并且表示RRM的最小收益,表3最优收益Px。Payo No_attention 20300 ½ 4/353005027/70图1资源消耗。图2检测精度。它对q*起作用,RM选择它的策略来最大化它的回报。仿真结果表明,当RRM智能地选择策略以增加其收益时,网元对RRM具有最优的资源消耗。表4最优收益为Py。Payo结束_过程继续30 500 13/20 7/50 0 21/100表5一般rootkit检测回报。RegistryKeyIAT内联SSDT无_注意1,00、1个0、1个0、1个IAT1,01,00、1个0、1个IAT,内联1,01,01,00、1个IAT、内联、SSDT1,01,01,01,0392K. Muthumanickam,E. 伊拉瓦拉桑动态博弈模型可以可视化如下。假设攻击者和防御者的博弈可以从易感状态开始。当RM选择end_process或RRM对攻击做出反应时,游戏结束。 类似地,如果RM成功并且状态转移到新的易受影响的状态,其不是游戏元素,则游戏结束。另一方面,如果RM成功,并且状态转换为以下任何一个比赛因素,比赛重新开始。找到一个NE将产生这个游戏的解决方案6.2. 元启发式优化元启发式优化(MO)使用元启发式算法解决许多现实世界的优化(最小化或最大化)问题。由于资源是有限的,特别是在检测恶意rootkit代码攻击时,这些资源的最佳消耗至关重要。虽然本文提高了检测精度的建议系统使用博弈论的方法相比,传统的方法,资源消耗的RRM仍然可以优化使用MO算法,如遗传算法,蜜蜂算法和蚁群优化。7. 结论在分析中,我们采用了传统的rootkit检测技术,该技术需要大量的计算资源来监控终端系统中的IAT、INLINE和SSDT数据结构。我们分析了传统方法,发现这些数据结构中监控的API数量相当多。但是rootkit开发人员编写代码来挂钩最常见的dll及其函数。为了减少监控API的数量,我们分析了各种rootkit样本,并发现了常见的API和DLL,这些API和DLL主要受恶意软件rootkit的影响。我们采用两人非零和非合作博弈模型。我们模拟了rootkit和我们的方法之间的游戏,以找到双方的最佳策略。仿真结果表明,该模型在保证检测精度的前提下,比传统的rootkit检测方法占用更少的系统资源。我们的游戏模型是一个合适的选择,系统资源是一个关键组成部分。引用Abdullah Al-Kadhi,Mishaal,2011年。沙特阿拉伯王国垃圾邮件状况评估。J. King Saud University. 告知。Sci. 23,45-58.Alfantookh,Abdulkader A.,2006.基于神经网络的DoS攻击智能检测。J. King Saud University.告知。Sci. 2,27-45.Alpcan,T.,Baskar,T.,2004.访问控制系统中入侵检测的博弈分析。第43届IEEE会议决定和控制(CDC)。巴哈马.Altwaijry,Hesham,Algarny,Saeed,2012.基于贝叶斯的入侵检测系统。J. King Saud University.告知。Sci. 24,1-6。巴特,A.,Rubinstein,Benjamin I.P.,Sundararajan,Mukund,2012.一种基于学习的反应式安全方法。IEEE Trans. Depend. 安全计算9(4),1-2.Chen,Lin,Leneutre,Jean,2009.异构网络入侵检测的博弈论框架。IEEE Trans. 告知。Forensics Security 4(2),165-178.A.,2006.犯罪软件领域:恶意软件、网络钓鱼、身份盗窃等。J.Digital Forensic Pract. 1(3),245-260.博弈论可通过以下网址获得:http://en.wikipedia.org/wiki/Gametheory。Hou,Zhao,Cai,Yueming,Dan,Wu,2011.基于整数规划和博弈 论 的 上 行 多 小 区 协 作 OFDM 系 统 资 源 分 配 。 Eurasip J.Wireless Commun.网络,1-10。Kinebuchi,Yuki,Butt,Shakeel,Ganapathy,Vinod,Iftode,Liviu,Nakajima,Tatsuo,2013.使用有限的本地内存监控完整性。IEEE Trans.告知。 法医安全8(7)。Kodialam,M.,拉克什曼,T.V.,2003.通过采样检测网络入侵:博弈论方法,在:IEEE INFOCOM,旧金山。Liu,P.网络攻击预测的博弈论方法。能源部ECPI计划最终技术报告,2005年。Liu,Y.,天啊H卡迈尼丘角,2002.一种有效的入侵检测混合策略的博弈论方法。IEEE国际会议Commun. (5),2201-2206Liu,Y.,Comanciciu,C.,天啊H 2006. adhoc网络中的不当行为建 模 : 入 侵 检 测 的博 弈 论 方 法 。 Int. J. Network Security 1(1),243-254.刘帅,张大勇,楚晓,哈迪·奥特罗克,帕比尔·巴特-阿查里亚,2008年.基于主机的入侵检测系统性能优化的博弈论方法。在:IEEE国际无线和移动计算,网络和通信会议。pp.448-453.刘帅,张大勇,楚晓,哈迪·奥特罗克,帕比尔·巴特-塔克里亚,2008年.基于主机的入侵检测系统性能优化的博弈论方法。在:IEEE国际无线移动计算会议论文集,网络通信。pp. 448-453Luo,Yi,Szidarovszky,Ferenc,Al-Nashif,Youssif,Hariri,Salim,2010.基于博弈论的网络安全。J.通知。安全,41- 44。奥斯卡,冯·诺依曼,奥斯卡,M.,2004.博弈论与经济行为Princeton UniversityPress.Otrok , H. , Mehrandish , M. , 阿 西 角 , Debbabi , M. ,Bhatacharya,P.,2008年检测网络入侵的博弈论模型。Comput.Commun. 31(10),1934-1944年。Pacha,A.,帕克,J.M.,2006.移动自组织网络中入侵检测的博弈理论公式。Int. J. NetworkSecurity 2(2),146-152.Pilai,Parvathy S.,Rao,Shrisha,2014.利用博弈论的不确定性原理进行云计算资源分配。IEEE系统杂志,1,1-12。Quynh,N. A.,以富士山为例,2007.迈向防篡改内核rootkit检测器。2007年ACM应用计算研讨会,韩国。pp. 276-283。W3Schools , 操 作 系 统 平 台 统 计 , 可 用 : http : //www.w3schools.com网站。Wang,L.,美国,达斯古普塔山口2007.内核和应用程序完整性保证。确保计算机系统免受Rootkit和恶意软件的侵害。第21届高级信息网络和应用研讨会国际会议。IEEE计算机协会。Xu,Xin,Yu,Huiqun,2014.一种公平有效的云计算资源分配的博弈论方法。数学概率工程2014,1-14。
我的内容管理
展开
