基于Windows的进程监控系统设计与实现
针对目前恶意进程的检测方法漏检率和错检率高,功能单一,没有提供与其它安全事件关联的接口和方法的问题, 提出了基于调用线程调度链表例程的隐藏进程检测算法,结合误用检测和异步检测的进程混合检测算法,并实现了一个原型系统——Sanship Windows。通过基于FU_RootKit工具软件的编程接口开发了木马攻击实例,进行了模拟攻击实验,结果显示系统能准确地检测出攻击行为,验证了算法在主机系统中的可行性,为主机系统的安全防御提供了有效的解决方案。
进程监控 隐藏进程检测 线程调度链表 FU_RootKit软件 系统设计 攻击行为
常俊 宗容 余江 刘银山
云南大学信息学院,云南 昆明 650091
国内会议
昆明
中文
1-6
2010-07-01(万方平台首次上网日期,不代表论文的发表时间)