| 基于Windows Native API序列的异常检测模型 |
| |
| 引用本文: | 冯力,孙杰,周晓明,杨力伟,彭勤科.基于Windows Native API序列的异常检测模型[J].西安交通大学学报,2006,40(4):406-410. |
| |
| 作者姓名: | 冯力 孙杰 周晓明 杨力伟 彭勤科 |
| |
| 作者单位: | 西安交通大学电子与信息工程学院,710049,西安 |
| |
| 基金项目: | 国家重点基础研究发展计划(973计划);中国科学院资助项目;国家科技攻关项目 |
| |
| 摘 要: | 针对Windows操作系统受到的越来越多的严重攻击,提出一种基于Native API序列的多步一致模型和指数迭代检测算法,实现了从内核空间检测Windows操作系统中的异常入侵.通过设计内核虚拟设备来截获系统服务分配表,从而可实时地获取Native API信息.用被截获的正常Native API数据建立一步和二步一致模型,并以此描述进程的正常行为.在检测过程中,通过指数迭代检测算法,可对不断出现的Native API的正常指数进行度量.采用报警提取算法对正常指数进行分析可惟一地确定对应的攻击,为管理员及时掌握系统的安全状况提供了保证.在不同的Windows操作系统环境下的实验结果表明,该方法有较好的检测精度.
|
| 关 键 词: | 异常检测 操作系统 多步一致模型 指数迭代检测算法 |
| 文章编号: | 0253-987X(2006)04-0406-05 |
| 收稿时间: | 2005-07-07 |
| 修稿时间: | 2005年7月7日 |
Anomaly Detection Model Based on Windows Native API Sequences |
| |
| Feng Li,Sun Jie,Zhou Xiaoming,Yang Liwei,Pen Qinke.Anomaly Detection Model Based on Windows Native API Sequences[J].Journal of Xi'an Jiaotong University,2006,40(4):406-410. |
| |
| Authors: | Feng Li Sun Jie Zhou Xiaoming Yang Liwei Pen Qinke |
| |
| Abstract: | |
| |
| Keywords: | anomaly detection operating system multi-step consistency model exponential iteration detection algorithm |
| 本文献已被 CNKI 维普 万方数据 等数据库收录! |
