Windows環(huán)境下的主機(jī)入侵檢測(cè)方法

基本信息

申請(qǐng)?zhí)?/td> CN200510043053.2 申請(qǐng)日 -
公開(公告)號(hào) CN1731310A 公開(公告)日 2006-02-08
申請(qǐng)公布號(hào) CN1731310A 申請(qǐng)公布日 2006-02-08
分類號(hào) G06F1/00(2006.01) 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 管曉宏;馮力;孫杰;楊力偉 申請(qǐng)(專利權(quán))人 蘇州賽博網(wǎng)垠信息科技發(fā)展有限公司
代理機(jī)構(gòu) 西安通大專利代理有限責(zé)任公司 代理人 徐文權(quán)
地址 710049陜西省西安市咸寧路28號(hào)
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種Windows環(huán)境下的主機(jī)入侵檢測(cè)方法,通過(guò)分析和建立Windows環(huán)境下的指定進(jìn)程的多階Native API一致模型和被檢測(cè)進(jìn)程產(chǎn)生的Native API序列之間的相關(guān)性來(lái)發(fā)現(xiàn)異常入侵。實(shí)際訓(xùn)練階段,收集指定進(jìn)程的Native APIs數(shù)據(jù)并存儲(chǔ)在數(shù)據(jù)庫(kù)中。對(duì)原始數(shù)據(jù)的分析包括一階分析和二階分析,分析和處理數(shù)據(jù)集合中的一階和兩階狀態(tài)轉(zhuǎn)移來(lái)建立一階和二階模型;在測(cè)試階段,指數(shù)迭代檢測(cè)算法計(jì)算Native APIs對(duì)應(yīng)的一階和二階Native APIs的正常指數(shù)值。在實(shí)際系統(tǒng)中,設(shè)計(jì)了報(bào)警提取方法,使在指數(shù)迭代檢測(cè)率的不斷變化波動(dòng)中,對(duì)出現(xiàn)的異常事件進(jìn)行準(zhǔn)確地發(fā)現(xiàn)和提取,并進(jìn)行正確的報(bào)警。