基于系统调用和齐次Markov链模型的程序行为异常检测
异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.
入侵检测、Markov链、异常检测、程序行为、系统调用
44
TP393(计算技术、计算机技术)
国家高技术研究发展计划863计划863-307-7-5;北京首信集团重大科研基金050203
2007-11-05(万方平台首次上网日期,不代表论文的发表时间)
共7页
1538-1544
