共 8 条
基于隐马尔可夫模型的内部威胁检测方法
被引:8
作者:
黄铁
[1
]
张奋
[1
,2
]
机构:
[1] 湖南文理学院计算机科学与技术学院
[2] 中南大学信息与工程学院
来源:
关键词:
内部威胁;
隐马尔可夫模型;
异常检测;
系统调用;
系统调用拦截;
D O I:
10.16208/j.issn1000-7024.2010.05.052
中图分类号:
TP393.08 [];
学科分类号:
0839 ;
1402 ;
摘要:
提出了一种基于隐马尔可夫模型的内部威胁检测方法。针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式。实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|)值太小而无法有效区分正常与异常的问题,检测性能更好。
引用
收藏
页码:965 / 968+1030
+1030
页数:5
相关论文