1、隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為人們最為關(guān)心的問題之一。當前，黑客入侵手段日新月異，對入侵的檢測變的越來越困難。在眾多的入侵事件中，黑客往往通過感染關(guān)鍵系統(tǒng)進程獲得目標主機的系統(tǒng)權(quán)限，并在成功入侵后在目標主機留下木馬、后門作為下次入侵的捷徑，所以對這些受感染的系統(tǒng)進程以及木馬、后門進程進行檢測是入侵檢測技術(shù)研究的重要課題之一。 入侵檢測按照檢測技術(shù)分為兩類：基于異常的入侵檢測和基于誤用的入侵檢測。進程檢測屬于基于異常的入侵

2、檢測分支。目前，國內(nèi)外學者對進程檢測的研究主要集中在進程行為上。在基于行為的進程檢測技術(shù)中，進程被看作一系列系統(tǒng)調(diào)用的有序組合，進程的正常行為由該有序組合中出現(xiàn)的局部系統(tǒng)調(diào)用序列來刻畫。由于該技術(shù)存在自身的不足，限制了它的應(yīng)用。 隨著進程行為的進行，進程狀態(tài)發(fā)生著相應(yīng)的變化，進程行為和進程狀態(tài)存在著某種內(nèi)在的關(guān)系。本文以范疇論為基礎(chǔ)，結(jié)合確定性有限狀態(tài)自動機，對這種關(guān)系進行了研究和論證，建立了基于范疇論的進程檢測模型(CPDM，

3、Process Detection Model based on Category)，并在此基礎(chǔ)上給出了基于狀態(tài)的進程檢測技術(shù)。在論文給出的檢測技術(shù)中，進程由進程狀態(tài)序列來描述，進程的正常狀態(tài)由進程狀態(tài)模式(PSP，Process State Pattern)來刻畫，該技術(shù)和已有技術(shù)相比具有顯著的優(yōu)勢。第一，正常狀態(tài)模式的長度固定，消除了局部系統(tǒng)調(diào)用序列長度不固定帶來的負面影響。第二，進程狀態(tài)的轉(zhuǎn)移和具體操作系統(tǒng)無關(guān)，研究的進程狀態(tài)模式