网络空间中网络攻击形式、持续时间及攻击数据量等不断增加,设备及应用面临巨大安全威胁。但传统的安全防护和检测技术不能很好地解决上述网络安全问题。基于任何形式的网络攻击其最终目标都是网络中的实体,所以从这些终端实体上进行攻击分析能够反映网络攻击整体情况。文章提出一种基于主机系统调用实现面向主机的攻击检测和攻击意图识别的方法,该方法基于ETW(Event Tracing for Windows),使用Process Monitor工具获取系统操作行为数据,并结合自定义的高危动作特征,采用自动分析方法,生成系统行为调用图以及统计操作行为特征。能刻画出攻击对主机的一系列危害行为,并通过进一步分析操作行为特征,识别出具体的攻击意图。
