计算机技术与网络通信技术的迅猛发展,使得信息安全的内涵和外延都在不断地发生变化,并且日益影响着相关领域技术的发展。政府机构、企事业单位、各种组织以及个人对计算机的依赖己经越来越强,计算机的应用已经渗透到政治、经济、社会、教育和军事等几乎所有领域的各种业务流程之中。与此同时,计算机病毒、木马和黑客的攻击也使我们认识到现有计算机网络系统是十分脆弱的,而且这种脆弱性可能造成不可估量的损失。传统的网络安全思想主要是以被动预防为主,通过防火墙、入侵检测系统和杀毒软件等在被保护网络的周围筑起高墙和栅栏,以防止外部攻击。但是传统的网络安全技术仅在外围对非法用户和越权访问进行封堵,而对访问者源端不加控制,加之操作系统的不安全因素导致系统的各种漏洞,因而无法从根本上解决安全问题。因此,必须换一个角度来解决问题,从源头上,即从每一台连接到网络的终端开始。近年来,可信计算的兴起正是对这一思想的认可。可信计算组织TCG制定的可信网络连接TNC规范,该规范采用了标准的接口定义了一个公开的标准,将传统的网络安全技术和可信计算技术结合,从终端入手构建可信网络,将不信任的访问操作控制在源端。TNC架构立足于终端,对每个试图连接到网络的终端,在待接入终端通过认证和授权的基础上,还检查终端当前的完整性及其它安全属性是否与预定的安全策略一致,从而提供对网络更完善的保护。根据预设安全策略,可信的终端将获得访问网络资源的权限,不可信的终端被拒绝访问或被隔离,有漏洞的终端被补救,更新其组件和配置,确保任何访问网络的终端具有符合组织安全策略的、最新的、恰当的安全配置。然而,目前TNC只定义了一系列主机的完整性和可靠性的规则,而没有定义有关程序行为,所以它无法对程序行为进行控制。因此需要对TNC中有关行为的安全性方面做一定的研究以便更好的提高网络的安全性及可信性。针对目前TNC规范存在的问题,设计了TNC的程序行为检测模型。基于主机系统调用序列的程序行为检测技术,是针对主机系统调用数据进行行为检测的一种安全技术。由于主机系统调用序列反映系统内核的行为特征,有利于对系统自身特征的提取和针对系统自身的检测,从而可以不考虑用户差别,从系统自身行为的合法性和破坏性上鉴别非法行为,以更好的提高系统的安全性。枚举序列模型构建两类特征模式空间:正常和异常两种类别的特征模式空间。本文在此基础上,将类别空间中出现频率较小的、类别特征不明显的、不稳定的短序列分离出来,将特征类别空间分为正常、异常和小概率三类,并提取了以时间为序的临近的短序列的关系所具有的信息,通过相应的临近算法,判定单个短序列的特征类别,以便能够更准确的反映行为特征,更准确的判别程序行为,更好的提高模型的检测判断能力。