內(nèi)容簡介： 針對高級持續(xù)性威脅（Advanced Persistent Threat，APT）利用組件對象模型（Component Object Model，COM）接口進行行為混淆，導(dǎo)致傳統(tǒng)溯源方法難以有效追蹤的問題，提出了一種基于數(shù)據(jù)匹配的實時溯源系統(tǒng)COMLink。該系統(tǒng)利用COM調(diào)用中客戶端與服務(wù)器進程間數(shù)據(jù)交換的數(shù)據(jù)關(guān)聯(lián)特性，通過前綴相似度算法實現(xiàn)對敏感行為的線程級精確溯源。COMLink能夠跨進程追蹤COM調(diào)用鏈，即使在惡意軟件利用受信任進程執(zhí)行惡意行為時也能有效溯源。實驗結(jié)果表明，COMLink在包含6個已知可利用COM接口的測試環(huán)境中，能夠以82%的準確率追蹤基于COM的攻擊行為，COMLink對系統(tǒng)性能的影響可忽略不計，性能損失小于2%，顯著提升了APT檢測和歸因能力。