计算机安全问题一直是计算机领域所探讨的热门话题,各种新技术新产品也层出不穷,但实际应用效果还远不能达到要求,然而计算机安全问题在大力加强信息化社会的建设过程中却越显突出和复杂。近年来一种将生物免疫机理应用到计算机安全领域的技术,即计算机免疫系统的出现又为这一问题的解决提供了崭新的途径。模仿生物免疫机理我们设计了计算机系统安全模型GECISM,该模型由多个代理构成,各代理模仿不同免疫细胞的功能和机制,通过相互协作来保障主机的安全。本文主要阐述了对GESCIM 中类MC Agent 代理的构造研究,所依靠的操作系统环境是Linux。类MC Agent 是GESCIM 与外部环境的接口,主要负责对异常的检测,检测的依据是程序运行时所产生的系统调用序列。采集器、规则库和检测器是类MC Agent 的主要组成部分。类MC Agent 采集器在Linux 的内核级实现,文章中详细描述了类MC Agent 对系统调用采集和将系统调用序列划分成短序列的方法,并对系统调用序列模式做出分析。本文给出了在系统调用短序列集上应用数据挖掘技术生成规则的方法,并详细介绍了分别应用C4.5 算法和CART 算法生成规则的过程和实验结果。类MC Agent 规则库中的规则是一组IF…THEN…语句集,通过规则可以判断某个系统调用短序列是否正常。文章还详细说明了类MC Agent 的检测器使用生成规则对异常进程的检测方法,并给出了实验结果和分析。