基于交换分区主机行为安全检测系统设计与实现

摘要

通过分析Windows系统中常见文件系统(如FAT32、NTFS等)底层数据结构及其关系,设计了一种从硬盘底层获取交换分区文件(pagefile.sys)算法.然后分析网站、电子邮件以及JPEG文件特征模式,构建相应的特征库,研究了网站、电子邮件访问行为分析机制,并设计了JPEG图像文件测览行为分析算法.最后,设计并实现了基于交换分区的主机行为检测系统.实验数据表明,该系统能够检测用户主机的网站、电子邮件访问行为,以及JPEG图像济览行为.