一种利用程序行为分析的rootkit异常检测方法.pdfVIP

第40卷第8期 中 国 缔 孽 玻 求 犬 誊 辱 取 Vol_4O，No．8 2010年 8月 JOURNALOFUNIVERSITY OFSCIENCEANDTECHNOLOGYOFCHINA Aug．2010 文章编号 ：0253—2778(2010)08—0863—07 一 种利用程序行为分析的rootkit异常检测方法 潘剑锋 ，奚宏生，谭小彬 (中国科学技术大学 自动化系，安徽合肥 230027) 摘要：提出了一种基于程序行为截取与分析的rootkit异常检测方法，该方法首先捕获软件行为和 检测行为痕迹，然后采用基于隐Markov模型(HMM)的异常检测算法分析所获得的行为数据，从 而检查出隐藏于操作系统中的rootkit．实验结果表明，该方法能有效检测出rootkit，具有高检 出率 和低误报率的特点，