期刊界 All Journals 搜尽天下杂志传播学术成果专业期刊搜索期刊信息化学术搜索

1.

A HOST ANOMALY DETECTION METHOD BASED ON LDA MODEL

He Xi Jiang Jianchun Ding Liping Wang Yongji Liao Xiaofeng 《计算机应用与软件》2012,29(8)

基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类.为此,引进LDA( Latent Dirichlet Allocation )文本挖掘模型构建新的入侵检测分类算法.该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测.针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率. 相似文献

2.

基于系统调用的入侵检测规则的生成 总被引：4，自引：0，他引：4

王凤先张岩刘振鹏王静红《计算机工程与应用》2005,41(3):75-76,136

由授权进程产生的系统调用短序列可作为计算机免疫系统中的“自我”标识。介绍如何利用数据挖掘技术在应用程序的系统调用数据集上进行分类挖掘,从而生成计算机免疫系统中的入侵检测规则,给出并分析了实验结果,发现用此方法生成的规则对未知数据进行分类有较高的准确率。相似文献

3.

基于贝叶斯树的主机异常检测

陈文《计算机安全》2011,(7):51-53

主要研究Windows平台下异常检测方法,提出了一种利用Windows Native API调用序列和基于贝叶斯树算法的主机服务进程规则和对应概率分布的生成算法,并建立正常模型.根据长为N-1的Windows Native APIs调用序列预测第N个调用的概率分布,对生成的概率序列用U检验方法作为异常检测算法.实验结果... 相似文献

4.

基于两层隐马尔可夫模型的入侵检测方法* 总被引：1，自引：0，他引：1

周星彭勤科王静波《计算机应用研究》2008,25(3):911-914

在基于系统调用的入侵检测研究中,如何提取系统调用序列模式是一个重要问题.提出一种利用进程堆栈中的函数返回地址链信息来提取不定长模式的方法.同王福宏的不定长模式提取方法相比,该方法可以取得更完备的模式集.在此基础上,基于系统调用序列及其对应的不定长模式序列构建了一个两层隐马尔可夫模型来检测异常行为,与仅利用系统调用序列信息的经典隐马尔可夫方法相比,该方法可以取得更低的误报率和漏报率. 相似文献

5.

基于LDA模型的主机异常检测方法

贺喜蒋建春丁丽萍王永吉廖晓峰《计算机应用与软件》2012,(8):1-4,24

基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类。为此,引进LDA(Latent Dirichlet Allocation)文本挖掘模型构建新的入侵检测分类算法。该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测。针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率。相似文献

6.

基于免疫原理与粗糙集理论的入侵检测方法

蒋世忠杨进张英《计算机应用》2006,26(5):1077-1080

针对目前基于进程系统调用的入侵检测方法中存在的问题,提出了一种基于免疫原理与粗糙集理论的入侵检测方法。该方法在对系统调用序列中的循环序列进行置换的基础上,借助于粗糙集理论,提取出一个简单的最小预测规则模型;同时融合免疫原理的有关机制,在检测模型中加入对已知入侵的快速检测引擎。同其他方法相比,该方法不需要完备的进程系统调用数据,而且得到的规则简单,更适用于实时检测。实验结果表明,该方法的检测效果优于同类的其他方法。相似文献

7.

系统调用序列分类的Motif方法及其在异常诊断中的应用

ZHANG Xiang-hua 李继伟 JIANG Zhao-hui 冯焕清《小型微型计算机系统》2008,29(8)

系统调用序列分析应用于异常诊断时大都提取定长或变长的子序列作为系统行为的特征,没有考虑系统调用的语义,而某些系统调用的语义是与进程的功能相关的.本文利用特殊系统调用的语义,从系统调用序列中提取motif-同类序列中经常出现的并与一定功能相关的子序列作为特征,并用这些motif建立分类器对序列进行自动分类.将此方法应用到PC机的入侵检测和系统故障诊断,结果表明,以motif为特征对序列进行分类,不仅可以提高识别率,降低误警报率,而且可以明显降低特征空间的维数. 相似文献

8.

基于频率特征向量的系统调用入侵检测方法

张莉萍雷大江曾宪华《计算机科学》2013,40(Z6):330-333,339

针对基于系统调用的异常入侵检测方法中较难抽取正常系统调用序列的特征库问题,提出将正常系统调用序列抽取出的子序列的频率特征转换为频率特征向量,并以此作为系统调用序列的局部和全局特征;为了保证对大规模数据集检测的准确率和速度,采用一类分类支持向量机(SVM)分类器进行学习建模,利用先前建立的特征库进行训练,建立入侵检测分类模型,最后对于待检测序列进行异常检测。在多个真实数据集上与已有的异常入侵检测方法进行比较实验,结果表明本文提出的方法的多个异常检测指标都都优于已有方法。相似文献

9.

基于统计语言模型的低耗时入侵检测方法

下载免费PDF全文

耿立中贾惠波《计算机工程》2010,36(5):10-11,1

针对基于系统调用序列的入侵检测方法在实际应用中成本偏高的问题,在STIDE方法的基础上提出一种低耗时的入侵检测算法。利用N元语义模型分析系统调用序列规律,计算系统调用的贡献度,抽取最能体现用户正常行为的系统调用,建立正常模式库实现异常检测。实验结果证明,该算法在保证检测率不下降的同时,训练和检测系统调用短序列的规模降低70%。相似文献

10.

短序列频度模式分类异常检测 总被引：1，自引：0，他引：1

彭新光靳燕《计算机研究与发展》2007,44(Z2):286-290

正确识别短序列的局部行为性质,是提高系统调用跟踪异常检测精度的关键要素.通过分析特权程序和不同短序列的行为模式空间,认为实际采集的系统调用跟踪不仅包含了具有显著局部行为特征的正常和异常短序列,也包含了大量局部行为归属不明确的短序列.以短序列模式在系统调用跟踪中出现频度为基础,提出了未知短序列概念.根据短序列分别在正常和攻击时段具有聚类效应原理,专门设计了短序列关联算法.采用RIPPER学习算法归纳出简洁的频度模式分类规则集.实验结果表明,创建的频度模式分类异常检测方法明显地提高了对未知和已知攻击的检测能力. 相似文献