CAJ | 학술논문

根据主机系统异常入侵过程中Windows native API序列的瞬时高频性,提出一种基于图的异常入侵检测算法.该算法首先将每个Native API映射成为图中的一个点,并以其为起点的子序列作为该点的路径、Native API的前后调用关系为边;其次,对图中每个点记录各自的路径,在这些点的路径中找到若干个圈,圈定义为因时同一个NativeAPI重复调用而在图中出现的回路;然后,对组成圈的所有边权值根据一定规则更新;最后利用图的边与其邻边权值差计算出异常指数,判断该序列是否异常.实验结果表明该算法在Windows平台下能实时有效地检测出异常入侵和病毒的Native API序列.
근거주궤계통이상입침과정중Windows native API서렬적순시고빈성,제출일충기우도적이상입침검측산법.해산법수선장매개Native API영사성위도중적일개점,병이기위기점적자서렬작위해점적로경、Native API적전후조용관계위변;기차,대도중매개점기록각자적로경,재저사점적로경중조도약간개권,권정의위인시동일개NativeAPI중복조용이재도중출현적회로;연후,대조성권적소유변권치근거일정규칙경신;최후이용도적변여기린변권치차계산출이상지수,판단해서렬시부이상.실험결과표명해산법재Windows평태하능실시유효지검측출이상입침화병독적Native API서렬.