基于屬性數(shù)據(jù)的系統(tǒng)調(diào)用過濾方法

郭 航，連一峰

（1.中國科學(xué)院 軟件研究所，北京100190；2.中國科學(xué)院大學(xué)，北京100049）

0 引 言

通過對內(nèi)核系統(tǒng)調(diào)用的偵聽和分析發(fā)掘網(wǎng)絡(luò)攻擊行為，是信息安全領(lǐng)域的重要研究方向。文獻(xiàn) ［1－8］均通過對日志中系統(tǒng)調(diào)用及其參數(shù)的分析獲得系統(tǒng)可能遭受的攻擊的信息。在受到攻擊的情況下，系統(tǒng)產(chǎn)生的系統(tǒng)調(diào)用數(shù)量十分龐大。如何對系統(tǒng)調(diào)用進(jìn)行合理有效地精簡和過濾，成為一個亟需解決的問題。當(dāng)前不同研究提出了不同的系統(tǒng)調(diào)用過濾規(guī)則，針對特殊進(jìn)程和文件對系統(tǒng)調(diào)用進(jìn)行刪減。如刪去包含文件 “／dev／pts”、 “／dev／ptmx”、 “／var／log／＊”等對于攻擊分析無作用的系統(tǒng)調(diào)用。文獻(xiàn) ［9］在此基礎(chǔ)上提出應(yīng)刪去只被進(jìn)程讀取而未被更改的文件所對應(yīng)的系統(tǒng)調(diào)用。

以上過濾規(guī)則的提出均依賴于已知的與攻擊無關(guān)的文件、進(jìn)程信息，這些信息內(nèi)容繁多，且與攻擊類型密切相關(guān)。由于過濾規(guī)則的局限性和專一性，可能無法對其它攻擊行為所產(chǎn)生的系統(tǒng)調(diào)用進(jìn)行有效地精簡。由此，本文提出一種基于屬性數(shù)據(jù)的系統(tǒng)調(diào)用過濾方法，并實現(xiàn)了一個名為 “系統(tǒng)調(diào)用分離器”的過濾工具。與現(xiàn)有的過濾方式相比，本文方法通過偵聽和分析系統(tǒng)調(diào)用的屬性數(shù)據(jù)，引入系統(tǒng)調(diào)用依賴規(guī)則，將惡意系統(tǒng)調(diào)用從龐雜的日志中分離并組成精簡日志。

1 基于屬性數(shù)據(jù)的系統(tǒng)調(diào)用過濾方法

1.1 相關(guān)定義

定義1 系統(tǒng)對象：表示系統(tǒng)中進(jìn)程、文件、套接字、內(nèi)存頁等對象信息。

定義2 系統(tǒng)調(diào)用的屬性數(shù)據(jù)：表示由系統(tǒng)調(diào)用參數(shù)直接或間接獲得的系統(tǒng)調(diào)用所包含的系統(tǒng)對象的詳細(xì)信息。

間接的屬性數(shù)據(jù)如文件路徑名、文件索引節(jié)點號、IP地址、端口號等需要在偵聽腳本中嵌入相應(yīng)代碼才能得到。

表1 給出了系統(tǒng)調(diào)用的各類屬性數(shù)據(jù)。如系統(tǒng)調(diào)用“open：syscall：open start：1349914348.877244end：1349914348.877247pid：6811ppid：6803pcmd：useradd pathname：／etc／gshadow inode：1493098O＿CREAT：0”，其中包含了系統(tǒng)調(diào)用名、起止時間、進(jìn)程、文件、標(biāo)志位等屬性數(shù)據(jù)信息。

表1 系統(tǒng)調(diào)用的屬性數(shù)據(jù)

本文重點分析表1中字體 “加粗”的屬性數(shù)據(jù)：

（1）對于一個文件，雖然可通過其文件路徑名 （pathname）和文件索引節(jié)點號 （inode）進(jìn)行唯一標(biāo)識，但即使是同一個文件路徑名，當(dāng)這個文件被重新創(chuàng)建時，系統(tǒng)依然會為它分配一個不同的文件索引節(jié)點號。若僅使用文件路徑名和索引節(jié)點號進(jìn)行分析，則會遺漏相應(yīng)的惡意調(diào)用。因此，本文選取文件路徑名 （pathname）對文件進(jìn)行分析。

（2）對于一個進(jìn)程，本文選取進(jìn)程ID （pid）進(jìn)行分析。進(jìn)程執(zhí)行命令名 （pcmd）因進(jìn)程在執(zhí)行不同文件時會發(fā)生變化，因此不作為分析對象。

（3）對于一個套接字，選取其IP地址信息進(jìn)行分析。同一個惡意IP地址會對應(yīng)很多不同端口號，若加入端口號進(jìn)行分析則增加了分析復(fù)雜度。

（4）對于一個內(nèi)存頁，選取其起始地址 （如addr、startaddr等）和映射到該地址空間的字節(jié)數(shù) （len）信息進(jìn)行分析。

定義3 系統(tǒng)調(diào)用依賴規(guī)則：表示將系統(tǒng)調(diào)用按照其所包含的系統(tǒng)對象間讀取、寫入、更改、創(chuàng)建等不同操作關(guān)系進(jìn)行分類的規(guī)則。

表2 列出了系統(tǒng)調(diào)用依賴規(guī)則。本文僅針對表2的35種系統(tǒng)調(diào)用進(jìn)行研究。

表2 系統(tǒng)調(diào)用依賴規(guī)則

其中，第2行與第7行所包含的系統(tǒng)調(diào)用為 “讀”類系統(tǒng)調(diào)用，這些系統(tǒng)調(diào)用所包含的進(jìn)程對文件或套接字僅進(jìn)行了讀取，并未對其進(jìn)行更改和寫入。而其余行所包含的系統(tǒng)調(diào)用則被規(guī)定為 “寫”類系統(tǒng)調(diào)用。這些系統(tǒng)調(diào)用所包含的進(jìn)程對文件、套接字或另一個進(jìn)程進(jìn)行了更改、寫入或創(chuàng)建操作。套接字之間的通信，如第九行的 “socket socket”也被視為 “寫”類操作，相應(yīng)系統(tǒng)調(diào)用也被歸入“寫”類。某些系統(tǒng)調(diào)用因標(biāo)志位的不同取值或包含不同的系統(tǒng)對象信息，可能出現(xiàn)在表2不同的行中，此處不再贅述。

定義4 惡意系統(tǒng)對象：表示由網(wǎng)絡(luò)攻擊直接包含或產(chǎn)生的，與攻擊有直接關(guān)系的進(jìn)程、文件和套接字，以及被其所感染的系統(tǒng)對象。標(biāo)記為 “red”，如red進(jìn)程、red文件等。其余不是網(wǎng)絡(luò)攻擊直接包含或產(chǎn)生的，且未被感染的系統(tǒng)對象則被視為 “安全的”，標(biāo)記為 “blue”，如blue進(jìn)程、blue文件等。

定義5 惡意系統(tǒng)調(diào)用：表示直接或間接由網(wǎng)絡(luò)攻擊產(chǎn)生的系統(tǒng)調(diào)用，標(biāo)記為 “red”；其余不是由網(wǎng)絡(luò)攻擊產(chǎn)生的系統(tǒng)調(diào)用均被視為 “安全的”，標(biāo)記為 “blue”。

定義6 Red預(yù)知信息：表示在進(jìn)行系統(tǒng)調(diào)用日志的精簡之前，得到的攻擊方初始IP地址及初始惡意文件路徑名等信息。

在本文模擬的攻擊場景下，根據(jù)Snort等入侵檢測系統(tǒng)的報警信息，使用工具 “BackTracker”分析系統(tǒng)調(diào)用日志，從而獲取Red預(yù)知信息。

定義7 Blue預(yù)知信息：表示系統(tǒng)中與網(wǎng)絡(luò)攻擊分析無關(guān)的文件信息。

系統(tǒng)中某些文件，如／dev／pts、／dev／ptmx、／var／log以及PIPE等，雖然會被惡意進(jìn)程進(jìn)行 “寫”操作，但這些文件不會被感染為惡意文件，且包含它們的系統(tǒng)調(diào)用對于攻擊分析也沒有幫助。因此，將這些文件信息記作 “Blue預(yù)知信息”。

本文提出的Red預(yù)知信息和Blue預(yù)知信息見表3。

表3 預(yù)知信息

針對套接字，本文僅關(guān)注AF＿INET類型的套接字，用IP地址和端口信息進(jìn)行唯一標(biāo)識。AF＿UNIX類型的套接字由于不包含IP地址信息，本文不做探討。

1.2 系統(tǒng)調(diào)用過濾算法

本文的研究基于對 “Red預(yù)知信息”及 “Blue預(yù)知信息”的已知，對網(wǎng)絡(luò)攻擊所使用的木馬文件具體內(nèi)容及攻擊過程則設(shè)為未知?！癛ed預(yù)知信息”分為 “初始red文件信息”和 “初始red套接字信息”。二者分別放入red文件集合以及red套接字集合，并建立red進(jìn)程集合。blue文件集合用于存儲 “Blue預(yù)知信息”。

針對系統(tǒng)調(diào)用日志中每一條系統(tǒng)調(diào)用信息進(jìn)行如下分析。

如圖1所示，當(dāng)一個系統(tǒng)調(diào)用為 “寫”類系統(tǒng)調(diào)用時，如果這個進(jìn)程屬于red進(jìn)程集合，該文件或套接字將被該進(jìn)程感染為red，則將該文件加入red文件集合，將該套接字加入red套接字集合，系統(tǒng)調(diào)用標(biāo)記為red；如果這個進(jìn)程不屬于red進(jìn)程集合，則需要確定被 “寫”的文件或套接字是否為red文件或red套接字。若是，則該進(jìn)程被感染為red，加入到red進(jìn)程集合中，系統(tǒng)調(diào)用被標(biāo)記為red。若不是，則將系統(tǒng)調(diào)用標(biāo)記為blue。

如圖2所示，當(dāng)一個系統(tǒng)調(diào)用是 “讀”類系統(tǒng)調(diào)用時，如果這個文件或套接字屬于red文件集合或red套接字集合，讀取或使用它們的進(jìn)程被感染為red，將其加入到red進(jìn)程集合中，將系統(tǒng)調(diào)用標(biāo)記為red；如果這個文件或套接字不屬于red文件集合或red套接字集合，即使讀取或使用他們的進(jìn)程為red進(jìn)程，被讀取的文件和套接字也不會被感染為red，系統(tǒng)調(diào)用也將被標(biāo)記為blue。

當(dāng)涉及進(jìn)程之間的操作時 （例如一個進(jìn)程創(chuàng)建或終止另一個進(jìn)程），如圖3（a）所示，若該進(jìn)程為red進(jìn)程，其產(chǎn)生的所有子進(jìn)程均被感染為red，系統(tǒng)調(diào)用被標(biāo)記為red。而當(dāng)一個red進(jìn)程殺掉一個已有進(jìn)程時，系統(tǒng)調(diào)用被標(biāo)記為red。

有一類系統(tǒng)調(diào)用包含了2個套接字信息，如connect、accept、sendto、recvfrom等。如圖3（b）所示，當(dāng)一個套接字為red時，意味著其IP地址信息屬于red套接字集合，與它通信的套接字被感染為red，系統(tǒng)調(diào)用也標(biāo)記為red。

對于mmap2和mprotect系統(tǒng)調(diào)用的屬性數(shù)據(jù)，由于映射內(nèi)存頁P(yáng)AGE 0（Memory：0～4096）可能引起空指針解引用去執(zhí)行惡意代碼，因此本文重點關(guān)注特殊內(nèi)存頁P(yáng)AGE 0。針對mmap2，當(dāng)其地址信息 （addr）為NULL，而映射字節(jié)數(shù) （len）為4096時表示PAGE 0。若該系統(tǒng)調(diào)用滿足上述特征，則被標(biāo)記為red，否則為blue。針對mprotect，當(dāng)其映射起始地址 （startaddr）為0，且其映射字節(jié)數(shù) （len）為4096時該系統(tǒng)調(diào)用被標(biāo)記為red，否則為blue。

當(dāng)一個系統(tǒng)調(diào)用中包含的文件路徑名屬于blue文件集合時，由于該集合中的文件不會被感染為red文件，且其相應(yīng)的系統(tǒng)調(diào)用與網(wǎng)絡(luò)攻擊分析無關(guān)，因此無論該系統(tǒng)調(diào)用包含的進(jìn)程是否為red進(jìn)程，都將此系統(tǒng)調(diào)用標(biāo)記為blue。

以下為系統(tǒng)調(diào)用過濾算法偽代碼。

輸入：系統(tǒng)調(diào)用屬性數(shù)據(jù)信息

輸出：red或blue系統(tǒng)調(diào)用

算法：

（1）If（syscall is a read＿class＿syscall） ／／若為“讀”類系統(tǒng)調(diào)用

（2） if check＿red＿file （pathname）or check＿red＿socket（IP）： ／／檢查文件或套接字是否為red

（3） check＿and＿add＿pid （pid） ／／進(jìn)程被感染為red，加入red進(jìn)程集合

（4） red＿fp.write （line＿str） ／／該系統(tǒng)調(diào)用被標(biāo)記為red

（5） else：

（6） blue＿fp.write （line＿str） ／／該系統(tǒng)調(diào)用被標(biāo)記為blue

（7）elif （syscall is a write＿class＿syscall）／／若為 “寫”類系統(tǒng)調(diào)用

（8） if check＿red＿process （pid）：／／檢查進(jìn)程是否為red

（9） check＿and＿add＿file （pathname）or check＿and＿add＿socket（IP）： ／／文件或套接字被感染為red，加入各自red集合

（10） red＿fp.write （line＿str） ／／該系統(tǒng)調(diào)用被標(biāo)記為red

（11） else：

（12） if check＿red＿file （pathname）or check＿and＿add＿socket（IP）： ／／若進(jìn)程不為red，則檢查文件或套接字是否為red

（13） check＿and＿add＿pid （pid） ／／進(jìn)程被感染為red，加入red進(jìn)程集合

（14） red＿fp.write （line＿str） ／／該系統(tǒng)調(diào)用被標(biāo)記為red

（15） else：

（16） blue＿fp.write （line＿str） ／／該系統(tǒng)調(diào)用被標(biāo)記為blue

2 實驗與分析

2.1 工具架構(gòu)

本文采用Python語言實現(xiàn)名為 “系統(tǒng)調(diào)用分離器”的過濾工具。工具架構(gòu)如圖4所示，輸出的包含所有red系統(tǒng)調(diào)用的文件便是精簡后的日志文件。

圖4 “系統(tǒng)調(diào)用分離器”架構(gòu)

2.2 實驗環(huán)境

本文參考文獻(xiàn) ［10］所提出的網(wǎng)絡(luò)攻擊情景，模擬了一個 “三步”遠(yuǎn)程網(wǎng)絡(luò)攻擊。如圖5所示，第1步：攻擊者利用SSH 服務(wù)器 （OpenSSL 0.9.8g）的漏洞CVE－2008－0166，發(fā)起蠻力密鑰猜測攻擊 （brute－force key guessing），可獲得root權(quán)限。第2步：當(dāng)NFS服務(wù)器 （UNFS3）的共享表 （export table）被錯誤配置時，允許任意用戶通過一個公共文件夾 （／export）共享任意文件。因此可通過SSH服務(wù)器上載一個木馬文件到該文件夾。該木馬文件包含了針對受害主機(jī) （Linux kernel 2.6.24）存在漏洞 CVE－2009－2692的利用代碼。第3步：當(dāng)用戶無意間裝載了該木馬文件時，木馬文件首先獲取受害主機(jī)的root權(quán)限，并創(chuàng)建一個用戶賬號，以便攻擊者登錄受害主機(jī)并獲取主機(jī)上的重要文件等信息。

2.3 Linux內(nèi)核系統(tǒng)調(diào)用的偵聽

為了避免遺漏重要的惡意系統(tǒng)調(diào)用，需要偵聽Linux內(nèi)核所有正在運(yùn)行的進(jìn)程，并同時偵聽網(wǎng)絡(luò)中主機(jī)間套接字的通信信息。根據(jù)本次研究對于系統(tǒng)調(diào)用屬性數(shù)據(jù)的定義及設(shè)置，應(yīng)偵聽每一個系統(tǒng)調(diào)用中全部屬性數(shù)據(jù)信息。本文選取了SystemTap工具對系統(tǒng)調(diào)用進(jìn)行偵聽及獲取。SystemTap是一個開源的、可監(jiān)控和偵聽運(yùn)行中的Linux系統(tǒng)操作的軟件。SystemTap可嵌入由C語言編寫的腳本代碼，從而實現(xiàn)功能的擴(kuò)展。通過編寫偵聽腳本文件，可偵聽Linux內(nèi)核系統(tǒng)調(diào)用的全部屬性數(shù)據(jù)。本次研究中編寫的腳本 “trace.stp”包含對全部屬性數(shù)據(jù)的偵聽腳本代碼。

2.4 實驗結(jié)果與分析

表4 列出了本文模擬攻擊場景下SSH服務(wù)器、NFS服務(wù)器，以及受害主機(jī)所產(chǎn)生的系統(tǒng)調(diào)用日志，通過 “系統(tǒng)調(diào)用分離器”進(jìn)行精簡后的效果及耗費時間。為進(jìn)行對比分析，分別記錄3次精簡過程的用時。

表4 “系統(tǒng)調(diào)用分離器”精簡日志的精簡時間及效果

由表4可清楚看到系統(tǒng)調(diào)用被精簡前后的數(shù)量變化。其中SSH服務(wù)器的系統(tǒng)調(diào)用數(shù)量由82242個精簡為10673個，精簡率87.02%；NFS服務(wù)器的系統(tǒng)調(diào)用精簡率22.11%；而受害主機(jī)的系統(tǒng)調(diào)用精簡率90.94%；由于本次模擬的攻擊情景首先利用SSH服務(wù)器的漏洞，發(fā)起蠻力密鑰猜測攻擊，導(dǎo)致系統(tǒng)產(chǎn)生大量包含惡意IP地址的 “套接字”類系統(tǒng)調(diào)用，如accept、sendmsg、recvmsg等。這使得SSH服務(wù)器系統(tǒng)調(diào)用精簡率略低于受害主機(jī)情況。在蠻力密鑰猜測攻擊成功后，攻擊者通過SSH服務(wù)器上傳惡意文件到NFS服務(wù)器，而受害主機(jī)用戶則從NFS服務(wù)器裝載該惡意文件，這導(dǎo)致系統(tǒng)產(chǎn)生大量對惡意文件的讀寫操作，其系統(tǒng)調(diào)用日志中包含了大量涉及惡意文件的 “讀”、“寫”類系統(tǒng)調(diào)用。因此，NFS服務(wù)器系統(tǒng)調(diào)用日志的精簡率與SSH服務(wù)器及受害主機(jī)相比差距較大。

在耗時方面，針對SSH服務(wù)器、NFS服務(wù)器及受害主機(jī)所產(chǎn)生的系統(tǒng)調(diào)用日志進(jìn)行精簡，平均用時分別為1.087 s、0.130s，以及0.823s。

文獻(xiàn) ［10］提出了一種基于系統(tǒng)調(diào)用日志的網(wǎng)絡(luò)攻擊分析工具，其第一步便是通過系統(tǒng)調(diào)用日志生成 “系統(tǒng)對象依賴圖”（SODG）。通過本文方法對系統(tǒng)調(diào)用日志進(jìn)行精簡，可大大降低分析工具的時間開銷。表5給出了未精簡和精簡后系統(tǒng)調(diào)用的數(shù)量、生成SODG的時間開銷、系統(tǒng)對象數(shù)等數(shù)據(jù)的對比信息。

可見，本文提出的方法在精簡系統(tǒng)調(diào)用日志數(shù)量方面，以及在精簡日志被用于網(wǎng)絡(luò)攻擊分析的效率方面都呈現(xiàn)了很好的效果。

為了驗證本文實現(xiàn)的 “系統(tǒng)調(diào)用分離器”在精簡過程中有無錯刪、誤刪重要的、惡意的系統(tǒng)調(diào)用，我們首先通過文獻(xiàn) ［10］提出的方法對未精簡的系統(tǒng)調(diào)用日志進(jìn)行分析，繪制出系統(tǒng)對象依賴圖 （SODG），使用該方法進(jìn)行路徑分析得到一條潛在的網(wǎng)絡(luò)攻擊路徑 （如圖6所示），該路徑中包含全部惡意的系統(tǒng)對象及其相應(yīng)的系統(tǒng)調(diào)用。而通過本文方法所得到的惡意 （red）系統(tǒng)對象及惡意 （red）系統(tǒng)調(diào)用實際上是真正起到攻擊效果的惡意系統(tǒng)對象及系統(tǒng)調(diào)用的超集。

表5 精簡與未精簡數(shù)據(jù)分析的對比結(jié)果

圖6 中，被標(biāo)記為灰色的圖形表示真正起到攻擊效果的惡意系統(tǒng)對象。其中，橢圓代表惡意文件，菱形代表惡意套接字，矩形代表惡意進(jìn)程。而它們之間的連線則代表不同的惡意系統(tǒng)調(diào)用。

通過將攻擊路徑中包含的全部惡意系統(tǒng)對象放入精簡后的系統(tǒng)調(diào)用日志中進(jìn)行查找匹配。使用本文提出的 “系統(tǒng)調(diào)用分離器”所精簡的系統(tǒng)調(diào)用日志包含全部起到攻擊效果的、惡意的系統(tǒng)對象及系統(tǒng)調(diào)用。與此同時，通過查找匹配，精簡日志也包含出現(xiàn)在圖6攻擊路徑中其它的系統(tǒng)對象及系統(tǒng)調(diào)用?？芍?，“系統(tǒng)調(diào)用分離器”在大幅提升分析效率的同時，保證了精簡日志的準(zhǔn)確性。

3 結(jié)束語

如何對系統(tǒng)調(diào)用進(jìn)行高效、合理地精簡，在基于系統(tǒng)調(diào)用的網(wǎng)絡(luò)攻擊分析中成為一個亟需解決的問題。現(xiàn)有的系統(tǒng)調(diào)用精簡方法均依賴于特定的過濾規(guī)則，精簡結(jié)果差強(qiáng)人意。由此，本文提出了一種基于屬性數(shù)據(jù)的系統(tǒng)調(diào)用過濾方法。通過偵聽和分析系統(tǒng)調(diào)用的屬性數(shù)據(jù)，引入系統(tǒng)調(diào)用的依賴規(guī)則，總結(jié)出一套判斷系統(tǒng)調(diào)用惡意性的分析方法。在此基礎(chǔ)上實現(xiàn)了名為 “系統(tǒng)調(diào)用分離器”的過濾工具，對該工具進(jìn)行了測試及實驗分析。實驗結(jié)果表明，該方法可有效地精簡系統(tǒng)調(diào)用日志，且保持了精簡的準(zhǔn)確性。

下一步將研究系統(tǒng)調(diào)用依賴規(guī)則對過濾效果的影響程度，并提出更完善的過濾方法，實現(xiàn)對系統(tǒng)調(diào)用日志的合理精簡。

［1］TAO Fen，YIN Zhiyi，F(xiàn)U Jianming.Software behavior model based on system calls ［J］.Computer Science，2010，37 （4）：151－157（in Chinese）.［陶芬，尹芷儀，傅建明.基于系統(tǒng)調(diào)用的軟件行為模型 ［J］.計算機(jī)科學(xué)，2010，37 （4）：151－157.］

［2］HUANG Guoyan，GAO Jianpei，CHANG Xuliang.Intrusion detection method based on parameters of system call［J］.Computer Engineering，2010，36 （12）：153－156 （in Chinese）.［黃國言，高建培，常旭亮.基于系統(tǒng)調(diào)用參數(shù)的入侵檢測方法 ［J］.計算機(jī)工程，2010，36 （12）：153－156.］

［3］FAN Enkui，CHEN Yajun.Analysis of system call based on Linux operating system ［J］.Journal of Chongqing University of Science and Technology，2008，10 （6）：124－126 （in Chinese）.［范恩魁，陳亞軍.基于Linux操作系統(tǒng)的系統(tǒng)調(diào)用分析 ［J］.重慶科技學(xué)院學(xué)報，2008，10 （6）：124－126.］

［4］SUN Xiaoyan，ZHU Yuefei，HUANG Qian，et al.Generation of system malicious behavior specification based on system call trace ［J］.Journal of Computer Applications，2010，30（7）：1767－1770 （in Chinese）.［孫曉妍，祝躍飛，黃茜，等.基于系統(tǒng)調(diào)用蹤跡的惡意行為規(guī)范生成 ［J］.計算機(jī)應(yīng)用，2010，30 （7）：1767－1770.］

［5］TIAN Xinguang，QIU Zhiming，LI Wenfa.Anomaly detection of program behavior based on system call and data mining ［J］.Computer Engineering，2008，34 （2）：1－3 （in Chinese）.［田新廣，邱志明，李文法，等.基于系統(tǒng)調(diào)用和數(shù)據(jù)挖掘的程序行為異常檢測 ［J］.計算機(jī)工程，2008，34 （2）：1－3.］

［6］WANG Qiong，NI Guiqiang，PAN Zhisong，et al.Anomaly detection of program behavior based on improved hidden Markov model（HMM） ［J］.Journal of Data Acquisition ＆ Processing，2009，24 （4）：508－513 （in Chinese）.［王瓊，倪桂強(qiáng)，潘志松，等.基于改進(jìn)隱馬爾可夫模型的系統(tǒng)調(diào)用異常檢測［J］.數(shù)據(jù)采集與處理，2009，24 （4）：508－513.］

［7］LIU Zhu，CHEN Jing，F(xiàn)ANG Liang.Anomaly detection on system call trace based on support vector data description ［J］.Computer Acquisition and Software，2012，29 （1）：291－293（in Chinese）.［劉竹，陳晶，方良.基于支持向量數(shù)據(jù)描述的系統(tǒng)調(diào)用軌跡異常檢測 ［J］.計算機(jī)應(yīng)用與軟件，2012，29（1）：291－293.］

［8］SHI Jingxiang，CHEN Shuyu，HUANG Hanhui.Research on kernel level Rootkit technology based on Linux system call［J］.Computer Technology and Development，2010，20 （4）：175－178（in Chinese）.［石晶翔，陳蜀宇，黃晗輝.基于Linux系統(tǒng)調(diào)用的內(nèi)核級Rootkit技術(shù)研究 ［J］.計算機(jī)技術(shù)與發(fā)展，2010，20 （4）：175－178.］

［9］Xiong X，Jia X，Liu P.Shelf：Preserving business continuity and availability in an intrusion recovery system ［C］／／In ACSAC，2009.

［10］Dai Jun，Sun Xiaoyan，Liu Peng.Patrol：Revealing zero－day attack paths through network－wide system object dependencies［C］／／In ESORICS，2013.