公开(公告)号：CN105095047A

公开(公告)日：2015-11-25

申请号：CN201510423210.6

申请日：2015-07-17

Applicant: 中国科学院计算技术研究所

Inventor： 杨章象 ,  孙毓忠

IPC: G06F11/30

Abstract: 本发明提出一种提取底层系统行为特征的操作系统监控方法及装置，该方法包括：步骤1，采集操作系统中资源分配事件以及异常处理事件的内核函数的参数及返回值，将所述参数及返回值从系统内核传递到用户态下，并记录到存储文件上；步骤2，用户态下将所述参数及返回值构造为特征值，将所述特征值记录到训练数据集，其中所述特征值反应系统的活动状态；步骤3，获取操作系统当前的特征值，基于已经大量记录的所述训练数据集来判断操作系统当前的活动状态。由此，能够更精确地捕捉操作系统的底层系统行为特征，对操作系统当前的活动状态进行监控。

公开(公告)号：CN105095047B

公开(公告)日：2018-05-04

申请号：CN201510423210.6

申请日：2015-07-17

Applicant: 中国科学院计算技术研究所

Inventor： 杨章象 ,  孙毓忠

IPC: G06F11/30

Abstract: 本发明提出一种提取底层系统行为特征的操作系统监控方法及装置，该方法包括：步骤1，采集操作系统中资源分配事件以及异常处理事件的内核函数的参数及返回值，将所述参数及返回值从系统内核传递到用户态下，并记录到存储文件上；步骤2，用户态下将所述参数及返回值构造为特征值，将所述特征值记录到训练数据集，其中所述特征值反应系统的活动状态；步骤3，获取操作系统当前的特征值，基于已经大量记录的所述训练数据集来判断操作系统当前的活动状态。由此，能够更精确地捕捉操作系统的底层系统行为特征，对操作系统当前的活动状态进行监控。