中文字幕高清免费日韩视频在线,乡下女人做爰A片,猫咪av成人永久网站在线观看,亚洲高清有码中文字,国产精久久一区二区三区

您所在的位置:首页 > 通信与网络 > 设计应用 > 一种基于数据匹配的COM恶意调用溯源研究
一种基于数据匹配的COM恶意调用溯源研究
电子技术应用
袁伟峰,沙乐天,潘家晔
南京邮电大学 计算机学院、软件学院、网络空间安全学院
摘要: 针对高级持续性威胁(Advanced Persistent Threat,APT)利用组件对象模型(Component Object Model,COM)接口进行行为混淆,导致传统溯源方法难以有效追踪的问题,提出了一种基于数据匹配的实时溯源系统COMLink。该系统利用COM调用中客户端与服务器进程间数据交换的数据关联特性,通过前缀相似度算法实现对敏感行为的线程级精确溯源。COMLink能够跨进程追踪COM调用链,即使在恶意软件利用受信任进程执行恶意行为时也能有效溯源。实验结果表明,COMLink在包含6个已知可利用COM接口的测试环境中,能够以82%的准确率追踪基于COM的攻击行为,COMLink对系统性能的影响可忽略不计,性能损失小于2%,显著提升了APT检测和归因能力。
中图分类号:TP393.08 文献标志码:A DOI: 10.16157/j.issn.0258-7998.256446
中文引用格式: 袁伟峰,沙乐天,潘家晔. 一种基于数据匹配的COM恶意调用溯源研究[J]. 电子技术应用,2025,51(9):50-55.
英文引用格式: Yuan Weifeng,Sha Letian,Pan Jiaye. A data matching-based study on tracing malicious COM calls[J]. Application of Electronic Technique,2025,51(9):50-55.
A data matching-based study on tracing malicious COM calls
Yuan Weifeng,Sha Letian,Pan Jiaye
School of Computer Science, Nanjing University of Posts and Telecommunications
Abstract: To address the challenge of Advanced Persistent Threats (APTs) leveraging Component Object Model (COM) interfaces to obfuscate malicious activities, rendering traditional tracing methods ineffective, this study proposes COMLink, a real-time provenance analysis system based on data matching. COMLink leverages the data association characteristics inherent in data exchange between client and server processes during COM calls, employing a prefix similarity algorithm to achieve precise, thread-level provenance for sensitive behaviors. COMLink is capable of cross-process tracing of COM call chains, enabling effective provenance analysis even when malware exploits trusted processes to execute malicious actions. Experimental results demonstrate that COMLink can trace COM-based attack behaviors with an accuracy of 82% in a test environment comprising 6 known exploitable COM interfaces. COMLink's impact on system performance is negligible, with a performance loss of less than 2%, significantly enhancing APT detection and attribution capabilities.
Key words : Advanced Persistent Threat (APT);malware detection;Component Object Model (COM);Windows malware

引言

恶意软件的持续演变对全球组织构成了严峻威胁,导致破坏性数据泄露、运营中断和巨额经济损失。根据2023年数据泄露调查报告,40%的数据泄露事件涉及恶意软件[1-2]。近年来,高级持续性威胁(APT)攻击日益频繁,攻击者不断采用新的技术来绕过安全防御[3-6]。其中,利用组件对象模型(COM)接口进行行为混淆已成为一种常见的攻击手段。COM接口允许程序跨进程调用组件的功能,恶意软件可以利用COM接口在受信任进程中执行恶意代码,从而绕过传统的基于进程行为的检测[7]。

然而,当前的解决方案对基于COM的恶意行为的检测能力有限,主要原因是COM调用涉及多个进程,难以追踪恶意行为的源头,目前采用黑名单的方式拦截组件执行特定操作,或利用白名单的方式限制组件执行效果,但黑名单机制无法有效防御未知COM接口,而白名单机制很容易通过修改进程名称的方式绕过。为了解决这一难题,本文提出了一种名为COMLink的实时溯源系统,该系统基于COM调用中客户端与服务器进程间数据交换的数据关联特性,实现了恶意行为的线程级关联。COMLink通过以下方式实现:(1) 使用系统级钩子监控COM调用的通信过程;(2) 提取COM调用时通信中的关键数据;(3) 基于最大前缀的相似度算法关联跨进程的数据;(4) 最终将恶意行为追溯到发起线程。本文的主要贡献在于提出了一种有效的COM恶意调用溯源方法,并验证了其在实际攻击场景中的有效性。


本文详细内容请下载:

//www.51qz.net/resource/share/2000006687


作者信息:

袁伟峰,沙乐天,潘家晔

(南京邮电大学 计算机学院、软件学院、网络空间安全学院,江苏 南京 210023)


Magazine.Subscription.jpg

此内容为AET网站原创,未经授权禁止转载。