技术特征:1.一种基于深度学习的linux系统dkom攻击检测方法,其特征在于,利用节点标签出现的频率生成内核对象的所有节点标签权值,利用监督学习训练图神经网络对扩展内存图的节点进行表示学习,利用基于投票机制的对象推测算法对节点分类的结果推测内核对象地址;该方法的具体步骤包括:
2.根据权利要求1所述的基于深度学习的linux系统dkom攻击检测方法,其特征在于,步骤2.2中所述的计算每种内核对象中每个节点标签权值v(c,li)是由下式得到的:
3.根据权利要求1所述的基于深度学习的linux系统dkom攻击检测方法,其其特征在于,步骤5所述的训练神经网络的损失函数如下:
4.根据权利要求1所述的基于深度学习的linux系统dkom攻击检测方法,其特征在于,步骤6中所述的内核对象推测算法的具体步骤如下:
技术总结本发明公开了一种基于深度学习的Linux系统DKOM攻击检测方法,用于解决现有的Linux系统DKOM攻击检测方法检测的DKOM攻击种类较少以及适用的Linux内核版本有限的问题。本发明的步骤为:(1)构建扩展内存图;(2)生成扩展内存图的节点标签;(3)构建图神经网络;(4)生成数据集;(5)训练图神经网络;(6)推测内核对象;(7)对待测Linux系统检测DKOM攻击。本发明对Linux内存镜像设计出了一种扩展内存图的图结构,采用图神经网络对扩展内存图的拓扑结构进行监督学习,实现识别Linux内存镜像中的各种内核对象,再分析其中是否存在被DKOM攻击隐藏的对象来检测DKOM攻击,使得本发明能够检测各种恶意隐藏内核对象的DKOM攻击并且具有很高的检测精度。
技术研发人员:孙聪,陈亮,马建峰
受保护的技术使用者:西安电子科技大学
技术研发日:技术公布日:2024/1/12