文献类型：期刊文章

作　　者：陶芬[1,2] 尹芷仪[1] 傅建明[1,2,3]

机构地区：[1]武汉大学计算机学院,武汉430072 [2]武汉大学空天信息安全与可信计算教育部重点实验室,武汉430072 [3]武汉大学软件工程国家重点实验室,武汉430072

出　　处：《计算机科学》

基　　金：863国家重点基金项目(2007AA01Z411);国家自然科学基金(90718005)资助

年　　份：2010

卷　　号：37

期　　号：4

起止页码：151-157

语　　种：中文

收录情况：BDHX、BDHX2008、CSA、CSCD、CSCD2011_2012、IC、JST、RCCSE、UPD、ZGKJHX、核心刊

摘　　要：由于系统调用信息可以在一定程度上反映程序的行为特性,因此利用系统调用来对程序行为进行建模是目前入侵检测领域的研究热点。以静态建模、动态建模和混合建模这3种不同的建模方式为切入点,按照时间顺序将基于系统调用的软件行为模型的发展划分为3个阶段:初期阶段、发展阶段和综合发展阶段。然后剖析了各阶段内的模型的发展轨迹以及它们之间的内在联系,并对它们做了横向对比分析。研究表明,基于系统调用的软件行为建模技术的发展趋势应是结合静态和动态建模技术以及结合系统调用的控制流信息和数据流信息,并综合考虑其他实时信息,如环境变量和上下文信息等,开发出检测能力更强、完备性更高以及实际可行性高的软件行为模型。

关 键 词：行为模型  入侵检测 系统调用  

分 类 号：TP309]