[00063268]Windows环境下的主机入侵检测方法
技术详细介绍
本发明公开了一种Windows环境下的主机入侵检测方法
主机入侵检测通过分析和建立Windows环境下的指定进程的多阶NativeAPI一致模型和被检测进程产生的NativeAPI序列之间的相关性来发现异常入侵。实际训练阶段,收集指定进程的NativeAPIs数据并存储在数据库中。对原始数据的分析包括一阶分析和二阶分析,分析和处理数据集合中的一阶和两阶状态转移来建立一阶和二阶模型;在测试阶段,指数迭代检测算法计算NativeAPIs对应的一阶和二阶NativeAPIs的正常指数值。在实际系统中,主机入侵检测设计了报警提取方法,使在指数迭代检测率的不断变化波动中,对出现的异常事件进行准确地发现和提取,并进行正确的报警。
