直接内核对象操纵（DKOM）攻击通过直接访问和修改内核对象来隐藏内核对象，是主流操作系统长期存在的关键安全问题。对DKOM 攻击进行基于行为的在线扫描适用的恶意程序类型有限且检测过程本身易受DKOM攻击影响。近年来，针对潜在受DKOM攻击的系统进行基于内存取证的静态分析成为一种有效和安全的检测方法。现有方法已能够针对Windows内核对象采用图神经网络模型进行内核对象识别，但现有方法不适用Linux系统内核对象，且对于缺少指针字段的小内核对象的识别有效性有限。针对以上问题，设计并实现了一种基于深度学习的Linux系统DKOM 攻击检测方案。提出了一种扩展内存图结构刻画内核对象的指针指向关系和常量字段特征，利用关系图卷积网络对扩展内存图的拓扑结构进行学习以实现内存图节点分类，使用基于投票的对象推测算法得出内核对象地址，并通过与现有分析框架Volatility的识别结果对比实现对Linux系统DKOM攻击的检测。贡献包括：提出的扩展内存图结构相比现有内存图结构更好地表示缺乏指针但具有常量字段的小内核数据结构的特征，实现更高的内核对象检测有效性。与现有基于行为的在线扫描工具chkrootkit相比，针对5种现实世界Rootkit的DKOM行为，方案实现了更高的检测有效性，精确度提高20.1%，召回率提高了32.4%。

• 单位
  华为技术有限公司; 西安电子科技大学