基于动态行为和特征模式的异常检测模型

被引：24

作者：

林果园 ^{[1
]}

郭山清 ^{[1
]}

黄皓 ^{[1
]}

曹天杰 ^{[2
]}

机构：

[1] 南京大学计算机科学与技术系软件新技术国家重点实验室

[2] 中国矿业大学计算机学院

来源：

计算机学报 | 2006年 / 09期

关键词：

特征模式; 子序列; 系统调用; 异常检测;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

该文针对现有的异常检测方法大多只关注系统调用出现的频率或者局部变化的情况,提出了一种将动态行为和全局特征结合起来的检测模型(DBCPIDS).文章针对满足支持度要求的系统调用短序列,给出了特征模式的概念,并以此为基础提出了基于改进的隐马尔科夫方法(IHMM).当利用该模型进行检测时,首先用程序轨迹匹配特征模式,如果不匹配再用IHMM进行检测,从而使得该检测模型充分利用了程序正常运行的全局特征和程序运行期间的局部变化.通过实验表明,利用该模型进行异常检测,具有很高的检测率和较低的误报率.

引用

页码：1553 / 1560

页数：8