[发明专利]基于多维交叉视图的rootkit行为辨识方法

权利要求书

1.基于多维交叉视图的rootkit行为辨识方法，其特征在于所述方法包括如下步骤：

步骤1，为生成多角度多层次的视图，首先利用针对操作系统的rootkit的检测方法A₁、A₂……A_n（n的值取决于针对这种rootkit隐藏项的检测方法的种类）构造n维视图P₁、P₂……P_n（即每种检测方法对应的检测结果）。

步骤2，若视图P_i（1≤i≤n）中未出现检测项而在其他所有视图中都出现了检测项，说明rootkit利用了针对检测方法A_i的规避手段H_i来隐藏检测项。若多个视图中均未出现检测项，说明rootkit采用了针对多种检测方法的规避手段H_γ（γ是β的子集，其中β是由1到n构成的集合。检测方法、规避手段、视图的对应关系由下角标决定）。所述检测项为rootkit要隐藏的踪迹，如进程、文件、端口、驱动等。

步骤3，在步骤2的基础上，通过得到的rootkit隐藏方法H_γ确定rootkit的污染数据是否可以被恢复。设可恢复的隐藏方法的集合为Φ，若H_γ与Φ存在交集，说明交集中的隐藏方法的隐藏项可以被恢复，对可恢复的系统污染数据进行恢复操作。

步骤4，再次利用检测方法A₁、A₂……A_n对系统进行检测，确保可恢复的污染数据已经被成功恢复。

2.根据权利要求1所述的基于多维交叉视图的rootkit行为辨识方法，其特征在于：步骤1中检测方法A1为基于硬件虚拟化的检测方法，其得到的视图P₁定义为准确视图，并以此为标准进行与其它视图的对比检测。

3.根据权利要求1所述的基于多维交叉视图的rootkit行为辨识方法，其特征在于：步骤2利用两个集合进行交叉视图进而辨识rootkit的具体行为，而非传统的两个视图进行交叉视图。

4.根据权利要求1所述的基于多维交叉视图的rootkit行为辨识方法，其特征在于：步骤3利用集合的概念，对两个集合的交集进行恢复操作。

5.根据权利要求1所述的基于多维交叉视图的rootkit行为辨识方法，其特征在于：步骤4利用重复检验，确保数据恢复成功。