行为监控(behavior monitoring),理学-计算机科学技术-信息安全-信息系统安全-软件安全-软件安全防御,一种监视和控制软件行为的方法。目的是动态获取软件的行为,实施访问控制和安全审计。恶意软件会执行非授权行为,而正常软件因漏洞引入外部代码也会执行非授权行为。行为监控包括行为捕获和安全审计。行为捕获是捕获软件加载动态库、访问文件、访问注册表、访问系统资源、加载内核模块、访问其他进程、访问网络和访问物理设备等。行为捕获技术采用函数指针的挂钩或者内联挂钩,劫持软件函数。当软件调用对应的函数时,监控代码获得控制权。行为捕获可以在用户层或者内核层实现。用户层的实现容易被恶意代码绕过,出现漏报;内核层的实现可以阻止用户层的恶意代码绕过,但难以对抗内核层的恶意代码。为此,行为捕获可以放在VMM(虚拟机监视器)中,该实现对于恶意代码是透明的,可以全面捕获恶意代码的行为,但存在底层内存代码与上层函数之间的语义鸿沟。安全审计是针对具体的访问行为,根据预定义的安全策略,及时阻断该访问,或者警示用户,或者记录访问日志。行为监控在软件层、操作系统层和虚拟机监视层植入监控代码,实现控制流的劫持。