针对Windows 操作系统受到的越来越多的严重攻击,提出一种基于Native API 序列的多 步一致模型和指数迭代检测算法,实现了从内核空间检测Windows 操作系统中的异常入侵. 通过 设计内核虚拟设备来截获系统服务分配表,从而可实时地获取Native API 信息. 用被截获的正常 Native API 数据建立一步和二步一致模型,并以此描述进程的正常行为. 在检测过程中,通过指数 迭代检测算法,可对不断出现的Native API 的正常指数进行度量. 采用报警提取算法

论文从计算机取证角度出发，详细研究操作系统内核、入侵与反入侵策略、网络监测技术、系统分析技术等。用软件工程的方法，设计实现适合于Windows NT/2000/XP操作系统下的计算机取证软件-papers from the perspective of Computer Forensics, a detailed study operating system kernel, the invasion and the anti-invasion strategy, network monitori

通过内核入侵是*入侵Linux系统的一种重要形式，其原理是利用Linux内核提供的机制来实现*的各种功能，卞要是通过内核编程来实现。本文重点研究了内核入侵的 两种方法:直接对内核源代码进行修改，利用Linux的模块机制。最后在此基础上完成了一个基于内核入侵的*设计与实现。