共查询到20条相似文献,搜索用时 31 毫秒
1.
基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类.为此,引进LDA( Latent Dirichlet Allocation )文本挖掘模型构建新的入侵检测分类算法.该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测.针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率. 相似文献
2.
提出了一种基于LZW算法的入侵检测算法。使用系统调用序列作为特征数据,采用LZW算法对系统调用序列数据进行变长短序列划分,同时对短序列进行压缩,并在应用的过程中对LZW算法进行适当调整以适应序列的划分。通过贝叶斯多元自适应回归样条(贝叶斯MARS)模型,对正常和异常序列进行分类并标识入侵。实验结果表明,基于LZW变长序列划分方法符合系统调用序列的内在规律,在较高压缩比的情况下,获得了很好的检测性能。LZW算法与贝叶斯MARS相结合的入侵检测算法,对各种数据表现稳定,具有一定可行性和实用性。 相似文献
3.
针对基于系统调用的异常入侵检测方法中较难抽取正常系统调用序列的特征库问题,提出将正常系统调用序列抽取出的子序列的频率特征转换为频率特征向量,并以此作为系统调用序列的局部和全局特征;为了保证对大规模数据集检测的准确率和速度,采用一类分类支持向量机(SVM)分类器进行学习建模,利用先前建立的特征库进行训练,建立入侵检测分类模型,最后对于待检测序列进行异常检测。在多个真实数据集上与已有的异常入侵检测方法进行比较实验,结果表明本文提出的方法的多个异常检测指标都都优于已有方法。 相似文献
4.
该算法来自一种文本分类算法-KNN算法,文中给出了用该算法实现的入侵检测系统模型.利用该算法实现的基于系统调用的异常入侵检测系统,克服了传统基于系统调用入侵检测方法的缺陷,实验结果体现了该方法的有效性和检测的高效性。 相似文献
5.
针对Windows系统入侵检测的不足,研究并借鉴Linux下基于系统调用序列进行入侵检测的方法,提出一种采用BP神经网络算法对Windows Native API序列学习和分类的内核级主机入侵检测方案。通过实验,验证了采用Windows Native API序列进行系统入侵的可行性。Native API是Windows系统内核模式下的API,可以类比于Linux下的系统调用。通过训练神经网络学习Native API序列,建立一个对正常和异常Native API序列进行分类的BP神经网络。在入侵检测时,利用训练后的神经网络对不断出现的Windows Native API 序列进行分类,判断系统是否出现异常入侵。 相似文献
6.
7.
8.
本文首先介绍了入侵检测的发展状况,接着用马尔可夫和BW算法进行建模;然后以系统调用执行迹这类常用的入侵检测数据为例,验证该模型的工作效果,最后将计算机仿真结果与其他检测方法进行了比较。通过实验和比较发现,基于HMM的系统调用序列的异常检测率比其他方法有明显的提高。 相似文献
9.
一种基于支持向量机的入侵检测模型 总被引:2,自引:1,他引:2
支持向量机(support vector machines)是一种建立在统计学习理论基础之上的机器学习方法。基于支持向量机在处理小样本、高维数及泛化能力强等方面的优势,该文提出了一种根据结构风险最小化原则基于支持向量机的入侵检测系统,首先简单介绍了入侵检测系统近来的发展状况和支持向量机的分类算法,然后给出以支持向量机分类算法为基础的入侵检测模型,以系统调用执行迹进行仿真实验,详细讨论了该模型的工作过程及核函数参数的选取对检测性能的影响。实验表明,该模型在先验知识较小的情况下,能够较好的检测出异常的入侵调用。 相似文献
10.
基于支持向量机的入侵检测系统 总被引:76,自引:2,他引:76
目前的入侵检测系统存在着在先验知识较少的情况下推广能力差的问题.在入侵检测系统中应用支持向量机算法,使得入侵检测系统在小样本(先验知识少)的条件下仍然具有良好的推广能力.首先介绍入侵检测研究的发展概况和支持向量机的分类算法,接着提出了基于支持向量机的入侵检测模型,然后以系统调用执行迹(system call trace)这类常用的入侵检测数据为例,详细讨论了该模型的工作过程,最后将计算机仿真结果与其他检测方法进行了比较.通过实验和比较发现,基于支持向量机的入侵检测系统不但所需要的先验知识远远小于其他方法,而且当检测性能相同时,该系统的训练时间将会缩短. 相似文献
11.
12.
13.
14.
提出了一种将系统调用的顺序特性和频度特性相接合来构建入侵检测模型(COFIDS模型)的新方法,该模型采用kNN(k-Nearest Neighbor Classifier)算法实现入侵检测,并利用一种改进的相似因子,来增加系统调用序列间相似度的差别,减少了识别误差,提高了检测率,降低了入侵检测的误报率。实验表明,COFIDS还具有较强的抗噪声干扰的能力。抗噪声干扰的能力。 相似文献
15.
基于数据挖掘的协议分析检测模型 总被引:1,自引:1,他引:0
针对现有入侵检测系统的不足,根据入侵和正常访问模式的网络数据表现形式的不同以及特定数据分组的出现规律,提出按协议分层的入侵检测模型,并在各个协议层运用不同的数据挖掘方法抽取入侵特征,以达到提高建模的准确性、检测速度和克服人工提取入侵特征的主观性的目的。其中运用的数据挖掘算法主要有关联挖掘、序列挖掘、分类算法和聚类算法。 相似文献
16.
抽取“非我”分类特征序列并依据它对“非我”进行准确分类是计算机免疫系统实现高效免疫应答的关键。基于规则重组的“非我”分类特征抽取算法(NFERR)以进程的系统调用序列为数据源,利用机器学习和数据挖掘方法抽取分类规则,并根据与原系统调用序列的匹配结果对这些规则进行重组得到“非我”特征序列。实验结果证明了此算法在“非我”分类特征抽取上的有效性。 相似文献
17.
为了从检测数据中发现潜在的、有效的入侵检测规则,提高入侵检测系统的检测率,提出一个基于分类关联规则的入侵检测系统模型。系统对数据集进行预处理,再利用改进的分类关联规则挖掘算法I-Apriori-TFP(total-from-partial)来产生所有的分类关联规则,并基于已产生的分类关联规则建立一个分类器,分类器经测试数据测试后,生成检测代理,最后利用检测代理对网络数据进行检测。实验结果表明,该方法能够有效地检测出网络数据中的入侵行为。 相似文献
18.
19.
系统调用序列分析应用于异常诊断时大都提取定长或变长的子序列作为系统行为的特征,没有考虑系统调用的语义,而某些系统调用的语义是与进程的功能相关的.本文利用特殊系统调用的语义,从系统调用序列中提取motif-同类序列中经常出现的并与一定功能相关的子序列作为特征,并用这些motif建立分类器对序列进行自动分类.将此方法应用到PC机的入侵检测和系统故障诊断,结果表明,以motif为特征对序列进行分类,不仅可以提高识别率,降低误警报率,而且可以明显降低特征空间的维数. 相似文献
20.
将聚类分析应用于监督学习,提出了基于矢量量化分析与Markov模型相结合的入侵检测方法.首先利用矢量量化方法对正常特权进程的短系统调用序列进行聚类分析,进而利用Markov模型来学习聚类之间的时序关系.由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况.在矢量量化中利用动态分裂算法对短系统调用序列进行聚类分析,充分提取特权进程的局部行为特征的相互关系,因此可以在训练集很小的条件下使模型更精确、检测能力大大增强.实验表明,该算法准确率高、所需的训练集小(训练量小)、实时性强和占用系统资源少. 相似文献