共 1 条
基于HMM的系统调用异常检测
被引:14
作者:
闫巧
谢维信
宋歌
喻建平
机构:
[1] 深圳大学信息工程学院
[2] 西安电子科技大学电子工程学院
[3] 深圳大学信息工程学院 广东深圳西安电子科技大学电子工程学院
[4] 陕西西安
[5] 广东深圳
来源:
关键词:
入侵检测;
异常检测;
隐马尔可夫模型;
系统调用;
正常轮廓;
D O I:
暂无
中图分类号:
TP393.08 [];
学科分类号:
0839 ;
1402 ;
摘要:
我们利用隐马尔可夫模型来描述特权进程正常运行时局部系统调用之间存在的规律性 .具体方法是将UNIX特权程序的系统调用轨迹通过隐马尔可夫模型处理得到系统状态转移序列 ,再经滑窗后得到系统状态转移短序列 .初步的实验证明这样得到的系统状态转移短序列比TIDE方法提出的系统调用短序列能更加简洁和稳定地表示系统的正常状态 ,采用这种状态短序列建立的正常轮廓库比较小 ,而且对训练数据的不完整性不太敏感 .在同等的训练数据下 ,检测时本方法比TIDE方法的检测速度快 ,虚警率低 .
引用
收藏
页码:1486 / 1490
页数:5
相关论文