CAJ | 학술논문

主机入侵检测的关键是监测进程的运行是否正常.现有的基于静态分析建模的方法具有零虚警的优良特性,但是,由于缺乏精确性或者效率的问题仍然不能实际使用,先前的工作试图在这两者之间寻找平衡点.基于NFA(nondeterministic finite automaton)的方法高效但是不够精确,基于PDA(push down automaton)的方法比较精确但却由于无限的资源消耗而不能应用.其他模型,例如Dyck模型、VPStatic模型和IMA模型使用一些巧妙的方法提高了精确性又不过分降低可用性,但是都回避了静态分析中遇到的间接函数调用/跳转问题.提出一种静态分析-动态绑定的混杂模型(hybrid finite automaton,简称HFA)可以获得更好的精确性并且解决了这一问题.形式化地与典型的上下文相关模型作比较并且证明HFA更为精确,而且HFA更适合应用于动态链接的程序.还给出了基于Linux的原型系统的一些实现细节和实验结果.
주궤입침검측적관건시감측진정적운행시부정상.현유적기우정태분석건모적방법구유령허경적우량특성,단시,유우결핍정학성혹자효솔적문제잉연불능실제사용,선전적공작시도재저량자지간심조평형점.기우NFA(nondeterministic finite automaton)적방법고효단시불구정학,기우PDA(push down automaton)적방법비교정학단각유우무한적자원소모이불능응용.기타모형,례여Dyck모형、VPStatic모형화IMA모형사용일사교묘적방법제고료정학성우불과분강저가용성,단시도회피료정태분석중우도적간접함수조용/도전문제.제출일충정태분석-동태방정적혼잡모형(hybrid finite automaton,간칭HFA)가이획득경호적정학성병차해결료저일문제.형식화지여전형적상하문상관모형작비교병차증명HFA경위정학,이차HFA경괄합응용우동태련접적정서.환급출료기우Linux적원형계통적일사실현세절화실험결과.