基于数据挖掘和变长序列模式匹配的程序行为异常检测

被引：6

作者：

田新广 ^{[1
]}

李文法 ^{[1
]}

段洣毅 ^{[1
]}

孙春来 ^{[1
]}

邱志明 ^{[2
]}

机构：

[1] 北京交通大学计算技术研究所

[2] 海军装备研究院博士后工作站

来源：

信号处理 | 2008年 / 04期

关键词：

入侵检测; 数据挖掘; 异常检测; 系统调用;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

摘要：

异常检测是目前入侵检测领域研究的热点内容。提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓。在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性。文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能。

引用

页码：551 / 555

页数：5

共 7 条

[1]

新的基于机器学习的入侵检测方法 [J].