内容简介: 针对高级持续性威胁(Advanced Persistent Threat,APT)利用组件对象模型(Component Object Model,COM)接口进行行为混淆,导致传统溯源方法难以有效追踪的问题,提出了一种基于数据匹配的实时溯源系统COMLink。该系统利用COM调用中客户端与服务器进程间数据交换的数据关联特性,通过前缀相似度算法实现对敏感行为的线程级精确溯源。COMLink能够跨进程追踪COM调用链,即使在恶意软件利用受信任进程执行恶意行为时也能有效溯源。实验结果表明,COMLink在包含6个已知可利用COM接口的测试环境中,能够以82%的准确率追踪基于COM的攻击行为,COMLink对系统性能的影响可忽略不计,性能损失小于2%,显著提升了APT检测和归因能力。
