目前,网络攻击形式多样,攻击持续时间及攻击数量不断增加,设备及应用面临巨大安全威胁。现有的防火墙、入侵检测等安全技术,虽然能够实现网络数据过滤、网络访问规则策略设定和攻击检测,但不能很好地解决主机设备中面临的安全问题,例如主机是否被植入木马病毒、主机中哪些信息被窃取、主机信息如何泄露等。现在大多数形式的网络攻击的最终目标多是网络中的终端实体(主机),所以在主机上进行攻击分析能够反映网络攻击情况。本文的研究工作是利用主机的系统日志刻画面向主机的攻击行为,并识别攻击意图,以提高对主机安全的感知能力。面向主机的攻击有多种形式,本文主要以恶意程序为例,研究其对终端实体(主机)的影响。本文主要工作包括三个部分:(1)提出了基于Windows事件数据进行攻击分析的方法。本方法利用Windows事件追踪(Event Tracingfor Windows)收集的主机日志作为行为操作数据,将主机的行为分为文件、注册表、进程、网络四个方面;结合自定义的高危动作特征,采用病毒分析方法,生成攻击行为调用图以及统计操作行为特征;利用上述数据能刻画出攻击对Windows主机产生的一系列危害行为,通过分析操作行为特征,识别出具体的攻击行为类型。(2)提出了一种基于图聚类的攻击行为分析方法。该方法是对基于Windows事件数据进行攻击分析的方法的改进。该方法使用因果关系思想,分析主机系统内的对象调用关系。通过使用图表示进程的调用关系,然后采用社区发现算法对进程调用图进行图聚类,达到自动发现恶意进程及其相关的恶意社区。另外,由于主机日志中存在许多冗余的条目,这些冗余的日志并不能表示出系统的事件关系,因此需要进行日志数据的预处理,本文提出去除冗余日志的规则,实现了数据清洗。(3)最后提出一种对攻击的影响和意图进行识别的方法。本方法综合分析恶意程序的攻击路径和攻击在主机产生的资源(网络资源、文件资源等)调用,将行为操作与调用关系进行结合,识别出攻击的影响和意图。本文的研究工作侧重分析恶意程序在主机产生的具体恶意动作行为,通过实验验证,能识别出恶意程序的攻击路径,并进一步识别出攻击的影响和意图。本文工作不仅能提升对面向主机攻击的安全感知能力,而且对研究攻击行为方面也有重要意义。