共 1 条
基于系统调用与进程堆栈信息的入侵检测方法
被引:2
作者:
张诚
彭勤科
机构:
[1] 西安交通大学电子与信息工程学院
来源:
关键词:
入侵检测;
系统调用;
调用堆栈;
函数返回地址;
不定长序列模式;
马尔可夫链;
D O I:
暂无
中图分类号:
TP393.08 [];
学科分类号:
0839 ;
1402 ;
摘要:
提出一种利用动态提取进程堆栈中的信息来寻找不定长模式的方法。该方法以进程中产生系统调用的函数返回地址链作为提取不定长模式的依据,根据函数的结构关系对模式集进行精简,得到一组不定长模式集。在此基础上,以不定长模式作为基本单位构建了一个马尔可夫链模型来检测异常行为。实验结果表明,该方法的检测性能要优于传统的不定长模式方法和一阶马尔可夫链模型方法,能够获得更高的检测率和更低的误报率。
引用
收藏
页码:139 / 142+148
+148
页数:5
相关论文