阿什文·戈尔;冯武昌;冯武池;大卫·迈尔 自动高性能重建和恢复。 (英语) Zbl 1112.68028号 计算。Netw公司。 51,第5期,1361-1377(2007). 摘要:自我保护系统需要能够在运行时即时检测恶意活动并防止执行。我们认为,由于在运行时可能拥有的信息量有限,不可能在没有误报的情况下完美地保护系统,并且最终会发生一些需要回滚的不希望发生的活动。因此,自我保护系统必须能够完全自动回滚已发生的恶意活动。由于人力资源成本目前占CPU、网络和存储资源成本的主导地位,我们主张应以自动化分析和恢复为主要目标来构建计算系统。为此,我们描述了Forensix的设计、实现和评估:一个用于支持自愈的健壮、高精度分析和恢复系统。Forensix系统记录目标计算机的所有活动,并允许在需要时高效、自动地重建活动。这样的系统可用于自动检测恶意活动的模式,并有选择地撤消其操作。Forensix使用三种关键机制来提高准确性并减少执行分析和恢复的人力开销。首先,它在内核事件级别对目标系统的执行进行全面监控,为所有活动提供高分辨率、独立于应用程序的视图。其次,它实时流式传输内核事件信息,只在一台单独的、加固的日志记录机上附加存储,使系统能够抵御各种攻击。第三,它使用数据库技术支持存档日志的高级查询,大大降低了执行分析和恢复的人力成本。 MSC公司: 68N25号 操作系统理论 关键词:自愈计算机;计算机取证;操作系统;审计 PDF格式BibTeX公司 XML格式引用 \textit{A.Goel}等人,计算机。Netw公司。51,第5号,1361--1377(2007;Zbl 1112.68028) 全文: 内政部