- 學位論文
行為分析之惡意程式偵測
Detecting Malicious Software By Monitoring Program Behavior
摘要
入侵偵測指的是偵測不適當、不正確或是異常的活動的技術。入侵偵測系統實際上就是完成這些偵測不適當、不正確或是異常的活動的系統。當然,在資訊安全領域中,這些不適當、不正確或是異常的活動指的是和資訊安全相關的各式活動。 本文的研究是以Hose-based IDS為主。HIDS是以主機上的資料作為偵測用的依據,所以,HIDS可以取得像是Server的Log或是使用者的使用記錄,甚至是Process的一些行為等。因此,所獲得的資料相對於Network-based IDS更顯的高階,分析來的結果會越接近Intruder的意圖。本文的研究主題便是以Process Behavior做為分析對象,透過intercept system call的技術,可以採集到許多的行為特徵,進而發展出一些Program behavior modeling的演算法
並列摘要
We present a host-based intrusion detection system (IDS) for Microsoft Windows. The system is an algorithm that detects malicious program on the host machine by monitoring Windows API-Calls. The idea is to train a behavior model of malicious programs, and use this model to detect malicious programs at run-time. Once there models have been established, subsequent API-Log are analyzed to identify deviations, given the assumption that anomalies usually represent evidence of an attack.