针对Windows 操作系统受到的越来越多的严重攻击,提出一种基于Native API 序列的多

步一致模型和指数迭代检测算法,实现了从内核空间检测Windows 操作系统中的异常入侵. 通过

设计内核虚拟设备来截获系统服务分配表,从而可实时地获取Native API 信息. 用被截获的正常

Native API 数据建立一步和二步一致模型,并以此描述进程的正常行为. 在检测过程中,通过指数

迭代检测算法,可对不断出现的Native API 的正常指数进行度量. 采用报警提取算法对正常指数

进行分析可惟一地确定对应的攻击,为管理员及时掌握系统的安全状况提供了保证. 在不同的

Windows 操作系统环境下的实验结果表明,该方法有较好的检测精度.