基于进程和文件行为的主机安全态势评估模型

作     者：周倜 张剑 王小非 冯力 

作者机构：哈尔滨工程大学计算机科学与技术学院黑龙江哈尔滨150001 武汉数字工程研究所湖北武汉430074 

出 版 物：《华中科技大学学报（自然科学版）》 (Journal of Huazhong University of Science and Technology(Natural Science Edition))

年 卷 期：2010年第38卷第10期

页      面：39-42页

核心收录：

学科分类：0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家高技术研究发展计划资助项目(2007AA01Z464) 国防'十一五'预研项目(C0820061362 A1420080183) 

主　　题：主机 安全 态势评估 进程 文件 系统调用 

摘      要：针对日益复杂的桌面操作系统和主机应用,建立了一个基于主机内核行为的安全态势评估模型.模型以系统调用(Native API)为数据源,分析了进程行为和文件行为,提出了一套用于评价主机安全状态的指标体系.首先通过计算进程异常度得到单个进程的安全态势;然后参照指标体系对文件分级并得到文件行为的安全评价;最后将两者关联,形成文件安全态势.实验表明,该方法能有效地反映主机安全态势.