虚拟化环境中基于神经网络专家系统的rootkit检测方法研究

针对现有虚拟化环境客户操作系统中对rootkit检测存在误判率高、无法检测未知rootkit等问题,提出了一种基于神经网络专家系统的rootkit检测方法(qpso_bp_es)。该方法将神经网络与专家系统相结合,利用其各自的优势构成检测系统。在实际检测时,首先捕获事先选取出来的rootkit典型特征行为,然后通过训练好的神经网络专家系统来检测客户操作系统中是否存在rootkit。最后通过实验表明,qpso_bp_es检测系统模型可以降低误判率,有效地检测已知和未知的rootkit。