用修改过的Linux Kernel去发现恶意代码及研究对策

用修改过的Linux Kernel去发现恶意代码及研究对策

杀毒软件公司做着不可能获胜事情，他们四处撒网，发现恶意代码，研究对策，更新自己的软件好应付下一次攻击，他们总是迟来。现在特拉维夫大学的Avishai Wool教授和他的研究生找到了与众不同的方法，他们透露了一个独一无二的叫Korset的程序能运行Linux上，世界上多数Web服务器和邮件服务器都是使用Linux。 Wool教授的方法可能会让杀毒软件过时。

图为:特拉维夫大学的Avishai Wool教授

他说，“我们修改了Linux Kernel，使其能监控和追踪安装在服务器上的程序行为。”他们建立了一个模型能预测服务器上程序应该如何运行。如果Kernel发现异常活动，它会在恶意活动发生之前终止程序的运作。“当我们看到一次越轨，我们就知道发生了坏事情。”Wool指出了杀毒软件保护的内存占用问题，“我们的方法更高效，而且不会消耗计算机的资源。”