针对Windows 操作系统受到的越来越多的严重攻击,提出一种基于Native API 序列的多 步一致模型和指数迭代检测算法,实现了从内核空间检测Windows 操作系统中的异常入侵. 通过 设计内核虚拟设备来截获系统服务分配表,从而可实时地获取Native API 信息. 用被截获的正常 Native API 数据建立一步和二步一致模型,并以此描述进程的正常行为. 在检测过程中,通过指数 迭代检测算法,可对不断出现的