-
题名基于不定长系统调用序列模式的入侵检测方法
被引量:2
- 1
-
-
作者
王福宏
彭勤科
李乃捷
-
机构
西安交通大学电子与信息工程学院
-
出处
《计算机工程》
EI
CAS
CSCD
北大核心
2006年第20期143-146,共4页
-
基金
国家自然科学基金资助项目(60373107)
国家"863"计划基金资助项目(2003AA142060)
-
文摘
提出了一种不定长序列模式的寻找算法,目标是从训练序列中找出一组基本的、相对独立的不定长序列模式。并在模式集的更新过程中自动定义了模式间的前后次序关系,以此构建了一个描述进程执行模式的DFA。针对已有基于不定长序列模式的模式匹配算法需要向前预测若干个系统调用号的缺点,文章设计了一个更好的模式匹配算法。实验结果表明,算法在模式寻找过程中是稳定的,并在保持一组规模很小的模式集的情况下,取得了很低的误报率和漏报率。
-
关键词
入侵检测
系统调用
模式匹配
不定长序列模式
误报率
-
Keywords
Intrusion detection
System call
Pattern match
Variable-length patterns
False positives
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于两层隐马尔可夫模型的入侵检测方法
被引量:4
- 2
-
-
作者
周星
彭勤科
王静波
-
机构
西安交通大学机械制造系统工程国家重点实验室
-
出处
《计算机应用研究》
CSCD
北大核心
2008年第3期911-914,共4页
-
基金
国家自然科学基金资助项目(60373107)
-
文摘
在基于系统调用的入侵检测研究中,如何提取系统调用序列模式是一个重要问题。提出一种利用进程堆栈中的函数返回地址链信息来提取不定长模式的方法。同王福宏的不定长模式提取方法相比,该方法可以取得更完备的模式集。在此基础上,基于系统调用序列及其对应的不定长模式序列构建了一个两层隐马尔可夫模型来检测异常行为,与仅利用系统调用序列信息的经典隐马尔可夫方法相比,该方法可以取得更低的误报率和漏报率。
-
关键词
入侵检测
系统调用
进程堆栈
函数返回地址
不定长序列模式
两层隐马尔可夫模型
-
Keywords
intrusion detection
system call
process stack
function return address
variable-length patterns
two-layer hid- den Markov model
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于系统调用与进程堆栈信息的入侵检测方法
被引量:2
- 3
-
-
作者
张诚
彭勤科
-
机构
西安交通大学电子与信息工程学院
-
出处
《计算机工程》
CAS
CSCD
北大核心
2007年第7期139-142,148,共5页
-
基金
国家自然科学基金资助项目(60373107)
国家"863"计划基金资助项目(2003AA142060)
-
文摘
提出一种利用动态提取进程堆栈中的信息来寻找不定长模式的方法。该方法以进程中产生系统调用的函数返回地址链作为提取不定长模式的依据,根据函数的结构关系对模式集进行精简,得到一组不定长模式集。在此基础上,以不定长模式作为基本单位构建了一个马尔可夫链模型来检测异常行为。实验结果表明,该方法的检测性能要优于传统的不定长模式方法和一阶马尔可夫链模型方法,能够获得更高的检测率和更低的误报率。
-
关键词
入侵检测
系统调用
调用堆栈
函数返回地址
不定长序列模式
马尔可夫链
-
Keywords
Intrusion detection: System call
Call stack
Function return addresses
Variable-length patterns
Markov chain
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
