学术探索
学术期刊
新闻热点
数据分析
智能评审

基于系统调用和齐次Markov链模型的程序行为异常检测

被引:18
作者
田新广 [1 ]
高立志 [2 ]
孙春来 [3 ]
张尔扬 [1 ]
机构
[1] 国防科学技术大学电子科学与工程学院
[2] 清华大学电子工程系
[3] 北京交通大学计算技术研究所
来源
计算机研究与发展 | 2007年 / 09期
关键词
入侵检测; Markov链; 异常检测; 程序行为; 系统调用;
D O I
暂无
中图分类号
TP393.08 []; TP311.11 [];
学科分类号
0839 ; 1402 ;
摘要
异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.
引用
收藏
页码:1538 / 1544
页数:7
相关论文
共 8 条
[1]   An empirical study of two approaches to sequence learning for anomaly detection [J].
Lane, T ;
Brodley, CE .
MACHINE LEARNING, 2003, 51 (01) :73-107
[2]   Intrusion detection techniques and approaches [J].
Verwoerd, T ;
Hunt, R .
COMPUTER COMMUNICATIONS, 2002, 25 (15) :1356-1365
[3]   Intrusion detection using sequences of system calls [J].
Hofmeyr, Steven A. ;
Forrest, Stephanie ;
Somayaji, Anil .
Journal of Computer Security, 1998, 6 (03) :151-180
[4]   Computer immunology [J].
Forrest, S ;
Hofmeyr, SA ;
Somayaji, A .
COMMUNICATIONS OF THE ACM, 1997, 40 (10) :88-96
[5]   新的基于机器学习的入侵检测方法 [J].
田新广 ;
高立志 ;
张尔扬 .
通信学报, 2006, (06) :108-114
[6]   一种改进的IDS异常检测模型 [J].
孙宏伟 ;
田新广 ;
李学春 ;
张尔扬 .
计算机学报, 2003, (11) :1450-1455
[7]   基于支持向量机的网络入侵检测 [J].
李辉 ;
管晓宏 ;
昝鑫 ;
韩崇昭 .
计算机研究与发展, 2003, (06) :799-807
[8]  
基于主机的入侵检测方法研究.[D].田新广.国防科学技术大学.2005, 03
1