使用Kernel监控和追踪服务器上的程序行为

[dogfox]

杀毒软件公司做着不可能获胜事情，他们四处撒网，发现恶意代码，研究对策，更新自己的软件好应付下一次攻击，他们总是迟来。现在特拉维夫大学的Avishai Wool教授和他的研究生找到了与众不同的方法，他们透露了一个独一无二的叫Korset的程序能运行Linux上，世界上多数Web服务器和邮件服务器都是使用Linux。
Wool教授的方法可能会让杀毒软件过时。他说，“我们修改了Linux Kernel，使其能监控和追踪安装在服务器上的程序行为。”他们建立了一个模型能预测服务器上程序应该如何运行。如果Kernel发现异常活动，它会在恶意活动发生之前终止程序的运作。“当我们看到一次越轨，我们就知道发生了坏事情。”Wool指出了杀毒软件保护的内存占用问题，“我们的方法更高效，而且不会消耗计算机的资源。”

http://www.sciencedaily.com/releases/20 ... 111037.htm

PDF

[pengpeng1987]

[quote="dogfox"]杀毒软件公司做着不可能获胜事情，他们四处撒网，发现恶意代码，研究对策，更新自己的软件好应付下一次攻击，他们总是迟来。现在特拉维夫大学的Avishai Wool教授和他的研究生找到了与众不同的方法，他们透露了一个独一无二的叫Korset的程序能运行Linux上，世界上多数Web服务器和邮件服务器都是使用Linux。
Wool教授的方法可能会让杀毒软件过时。他说，“我们修改了Linux Kernel，使其能监控和追踪安装在服务器上的程序行为。”他们建立了一个模型能预测服务器上程序应该如何运行。如果Kernel发现异常活动，它会在恶意活动发生之前终止程序的运作。“当我们看到一次越轨，我们就知道发生了坏事情。”Wool指出了杀毒软件保护的内存占用问题，“我们的方法更高效，而且不会消耗计算机的资源。”

http://www.sciencedaily.com/releases/20 ... 111037.htm

[url=http://ols.fedoraproject.org/OLS/Reprin ... eprint.pdf]PDF[/url][/quote]
嗯服务器得先求稳定哦，服务器管理员是否能接受这样一个程序得经过考验先@@支持一个~！~！

[BigSnake.NET]

怎么看着像SELINUX