Location:
Search - HookNativeA
Search list
Description: 针对Windows 操作系统受到的越来越多的严重攻击,提出一种基于Native API 序列的多
步一致模型和指数迭代检测算法,实现了从内核空间检测Windows 操作系统中的异常入侵. 通过
设计内核虚拟设备来截获系统服务分配表,从而可实时地获取Native API 信息. 用被截获的正常
Native API 数据建立一步和二步一致模型,并以此描述进程的正常行为. 在检测过程中,通过指数
迭代检测算法,可对不断出现的Native API 的正常指数进行度量. 采用报警提取算法对正常指数
进行分析可惟一地确定对应的攻击,为管理员及时掌握系统的安全状况提供了保证. 在不同的
Windows 操作系统环境下的实验结果表明,该方法有较好的检测精度.
Platform: |
Size: 306176 |
Author: 杨奇 |
Hits: