Windows環(huán)境下的主機入侵檢測方法

基本信息

申請?zhí)?/td> CN200510043053.2 申請日 -
公開(公告)號 CN1328638C 公開(公告)日 2007-07-25
申請公布號 CN1328638C 申請公布日 2007-07-25
分類號 G06F1/00(2006.01) 分類 計算;推算;計數(shù);
發(fā)明人 管曉宏;馮力;孫杰;楊力偉 申請(專利權(quán))人 蘇州賽博網(wǎng)垠信息科技發(fā)展有限公司
代理機構(gòu) 西安通大專利代理有限責(zé)任公司 代理人 西安交通大學(xué);蘇州賽博網(wǎng)垠信息科技發(fā)展有限公司
地址 710049陜西省西安市咸寧路28號
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種Windows環(huán)境下的主機入侵檢測方法,通過分析和建立Windows環(huán)境下的指定進程的多階Native API一致模型和被檢測進程產(chǎn)生的Native API序列之間的相關(guān)性來發(fā)現(xiàn)異常入侵。實際訓(xùn)練階段,收集指定進程的Native APIs數(shù)據(jù)并存儲在數(shù)據(jù)庫中。對原始數(shù)據(jù)的分析包括一階分析和二階分析,分析和處理數(shù)據(jù)集合中的一階和兩階狀態(tài)轉(zhuǎn)移來建立一階和二階模型;在測試階段,指數(shù)迭代檢測算法計算Native APIs對應(yīng)的一階和二階Native APIs的正常指數(shù)值。在實際系統(tǒng)中,設(shè)計了報警提取方法,使在指數(shù)迭代檢測率的不斷變化波動中,對出現(xiàn)的異常事件進行準確地發(fā)現(xiàn)和提取,并進行正確的報警。