1、隨著信息技術與網絡的不斷發(fā)展，各行各業(yè)均已實現(xiàn)了數(shù)字化、網絡化、智能化、一體化，網絡安全也受到了大家的高度關注，網絡安全不僅是各個網絡系統(tǒng)可靠運行的保障，更關乎著系統(tǒng)數(shù)據(jù)的安全，隨著中國鐵路的不斷發(fā)展進步，中國列車運行控制系統(tǒng)(Chinese Train Control System，CTCS)也逐步實現(xiàn)了數(shù)字化、一體化的列車運行網絡系統(tǒng)。CTCS的網絡安全一直受到人們的高度關注，其網絡安全不僅是保證鐵路運行的效率和經濟的保證，更關乎人

2、們出行的安全。近幾年來，高級持續(xù)性威脅(Advanced Persistent Threat，APT)引起了國際、國內的重視，APT是組織或個人以竊取信息，或者對網絡系統(tǒng)進行破壞為目的，運用各種方式，對日標系統(tǒng)進行入侵或攻擊的行為。如2010年APT運用震網(Stuxnet)病毒，專門定向攻擊真實世界中基礎（能源）設施，比如核電站，水壩，國家電網等。這種對特定目標進行長期、持續(xù)性、定向的網絡攻擊的形式對工業(yè)控制網絡具有很大威脅。因此，為

3、了有效的防御APT攻擊，研究針對APT攻擊的特點的入侵檢測系統(tǒng)具有重要意義。
　　本文首先對APT及入侵檢測系統(tǒng)的特點和現(xiàn)狀進行了分析。針對傳統(tǒng)入侵檢測系統(tǒng)監(jiān)控用戶模式的系統(tǒng)API函數(shù)容易被惡意代碼發(fā)現(xiàn)并進行隱藏，對0day漏洞防范不足的情況，確定了基用內核調用監(jiān)控的系統(tǒng)實現(xiàn)方案。本文使用內核級的API Hook技術，在系統(tǒng)，進程，文件、注冊表、驅動和網絡監(jiān)控等方面對內核態(tài)的API函數(shù)調用進行監(jiān)控和攔截，這樣對系統(tǒng)的監(jiān)控更加底層，