進程檢測模型及相關技術的研究與實現.pdf

1、隨著計算機網絡技術的發(fā)展，網絡安全成為人們最為關心的問題之一。當前，黑客入侵手段日新月異，對入侵的檢測變的越來越困難。在眾多的入侵事件中，黑客往往通過感染關鍵系統(tǒng)進程獲得目標主機的系統(tǒng)權限，并在成功入侵后在目標主機留下木馬、后門作為下次入侵的捷徑，所以對這些受感染的系統(tǒng)進程以及木馬、后門進程進行檢測是入侵檢測技術研究的重要課題之一。 入侵檢測按照檢測技術分為兩類：基于異常的入侵檢測和基于誤用的入侵檢測。進程檢測屬于基于異常的入侵

2、檢測分支。目前，國內外學者對進程檢測的研究主要集中在進程行為上。在基于行為的進程檢測技術中，進程被看作一系列系統(tǒng)調用的有序組合，進程的正常行為由該有序組合中出現的局部系統(tǒng)調用序列來刻畫。由于該技術存在自身的不足，限制了它的應用。 隨著進程行為的進行，進程狀態(tài)發(fā)生著相應的變化，進程行為和進程狀態(tài)存在著某種內在的關系。本文以范疇論為基礎，結合確定性有限狀態(tài)自動機，對這種關系進行了研究和論證，建立了基于范疇論的進程檢測模型(CPDM，

3、Process Detection Model based on Category)，并在此基礎上給出了基于狀態(tài)的進程檢測技術。在論文給出的檢測技術中，進程由進程狀態(tài)序列來描述，進程的正常狀態(tài)由進程狀態(tài)模式(PSP，Process State Pattern)來刻畫，該技術和已有技術相比具有顯著的優(yōu)勢。第一，正常狀態(tài)模式的長度固定，消除了局部系統(tǒng)調用序列長度不固定帶來的負面影響。第二，進程狀態(tài)的轉移和具體操作系統(tǒng)無關，研究的進程狀態(tài)模式