基于不定长系统调用序列模式的入侵检测方法被引量：2

Intrusion Detection Using Variable-length System Calls Patterns

下载PDF

导出

摘要提出了一种不定长序列模式的寻找算法,目标是从训练序列中找出一组基本的、相对独立的不定长序列模式。并在模式集的更新过程中自动定义了模式间的前后次序关系,以此构建了一个描述进程执行模式的DFA。针对已有基于不定长序列模式的模式匹配算法需要向前预测若干个系统调用号的缺点,文章设计了一个更好的模式匹配算法。实验结果表明,算法在模式寻找过程中是稳定的,并在保持一组规模很小的模式集的情况下,取得了很低的误报率和漏报率。 A novel simple technique to build a table of variable-length patterns from training system call sequences is presented, aiming to find out a set of basic and relatively independent variable-length patterns. Also, the method finds out all possible relationship between variable-length patterns, and thereby generates an exact DFA representation of the program. Using the data sets from the university of New Mexico, the schema is evaluated by several targets--sizes of variable-length patterns, false positives and false negatives. The experimental results indicate that the algorithms generate a relative small set of patterns, and get very low false positives and false negatives.

作者王福宏彭勤科李乃捷

机构地区西安交通大学电子与信息工程学院

出处《计算机工程》 EI CAS CSCD 北大核心 2006年第20期143-146,共4页 Computer Engineering

基金国家自然科学基金资助项目(60373107) 国家"863"计划基金资助项目(2003AA142060)

关键词入侵检测系统调用模式匹配不定长序列模式误报率 Intrusion detection System call Pattern match Variable-length patterns False positives

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献7

1Forrest S,Hofmeyr S A,Somayaji A,et al.A Sense of Self for Unix Processes[C].Proceedings of the IEEE Symposium on Security and Privacy,1996:120-128.
2Warrender C,Forrest S,Pearlmutter B.Detecting Intrusions Using System Calls:Alternative Data Models[C].Proceedings of the IEEE Symposium on Security and Privacy,1999:133-145.
3Lee W,Stolfo S J.Data Mining Approaches for Intrusion Detection[C].Proceedings of the 7th USENIX Security Symposium,San Antonio,Texas,1998.
4Eskin E,Lee W,Stolfo S J.Modeling System Calls for Intrusion Detection with Dynamic Window Sizes[C].Proceedings of DARPA Information Survivability Conference & Exposition II,2001.
5Kosoresow A P,Hofmeyer S A.Intrusion Detection via System Call Traces[J].IEEE Software,1997,14(5):35-42.
6Hofmeyr S A,Forrest S,Somayaji A.Intrusion Detection Using Sequences of System Calls[J].Journal of Computer Security,1998,6(3):151-180.
7Wespi A,Dacier M,Debar H.Intrusion Detection Using Variable-length Audit Trail Patterns[C].Proceedings of Workshop on Recent Advances in Intrusion Detection,Toulouse,France,2000.

同被引文献25

1张诚,彭勤科.基于系统调用与进程堆栈信息的入侵检测方法[J].计算机工程,2007,33(7):139-142. 被引量：2
2FORREST S, HOFMEYR S A, SOMAYAJI A, et al. A sense of self for UNIX processes [ C ]//Proc of IEEE Symposium on Security and Privacy. Los Alamos, California: [ s. n ], 1996 : 120-128.
3LEE W, STOLFO S J. Data mining approaches for intrusion detection [ C]//Proc of the 7th USENIX Security Symposium. San Antonio, Texas: [ s. n. ], 1998:79-94.
4KOSORESOW A P, HOFMEYR S A. Intrusion detection via system call traces[J]. IEEE Software, 1997, 14(5) :35-42.
5WESPI A, DACIER M, DEBAR H. Intrusion detection using variable-length audit trail patterns [ C ]//Proc of the 3rd International Workshop on the Recent Advances in Intrusion Detection (RAID 2000). Toulouse:[s. n. ], 2000:110-129.
6FENG H, KOLESNIKOV O, FOGLA P, et al. Anomaly detection using call stack information[ C ]//Proc of IEEE Symposium on Security and Privacy. Berkeley, California: [ s. n. ], 2003:62-75.
7WARRENDER C, FORREST S, PEARLMUTTER B. Detecting intrusions using system calls: alternative data models [ C]/)/Proc of IEEE Symposium on Security and Privacy. Oakland, California: [ s. n. ] ,1999: 133-145.
8YAN Qiao, XIE Wie-xin, YANG Bin, et al. An anomaly intrusion detection method based on HMM [J]. Electronics Letters, 2002,38 ( 13 ) :663-664.
9CHO S B, PARK H J. Efficient anomaly detection by modeling privilege flows using hidden Markov model[ J]. Computers & Security, 2003,22( 1 ) :45-55
10YEUNG D Y, DINGY. Host-based intrusion detection using dynamic and static behavioral models [ J ]. Pattern Recognition, 2003,36 ( 1 ) :229-243.

引证文献2

1周星,彭勤科,王静波.基于两层隐马尔可夫模型的入侵检测方法[J].计算机应用研究,2008,25(3):911-914. 被引量：4
2蔡洪波,单征,范超,赵炳麟.基于非定长系统调用序列的程序行为动态度量方法[J].计算机应用研究,2016,33(4):1154-1158.

二级引证文献4

1赖英旭,刘静,王一沛.基于隐马尔科夫模型的用户行为异常检测方法[J].电子技术应用,2011,37(7):156-158. 被引量：3
2汪可,杨丽君,廖瑞金,齐超亮,周湶.基于离散隐式马尔科夫模型的局部放电模式识别[J].电工技术学报,2011,26(8):205-212. 被引量：12
3方向,王丽娜,贾颖.智能化入侵检测算法研究综述[J].通信技术,2015,48(12):1321-1328. 被引量：4
4赵婧,魏彬,罗鹏,杨晓元.基于隐马尔可夫模型的入侵检测方法[J].四川大学学报（工程科学版）,2016,48(1):106-110. 被引量：5

1李永忠,徐静,赵博,杨鸽.基于变长系统调用序列模式的入侵检测方法研究[J].江苏科技大学学报（自然科学版）,2007,21(3):36-41. 被引量：2
2张诚,彭勤科.基于系统调用与进程堆栈信息的入侵检测方法[J].计算机工程,2007,33(7):139-142. 被引量：2
3周星,彭勤科,王静波.基于两层隐马尔可夫模型的入侵检测方法[J].计算机应用研究,2008,25(3):911-914. 被引量：4
4周兵,李家国,吴贯锋,刘扬.面向遥感产品生产的可视化数据流模型[J].河南大学学报（自然科学版）,2013,43(1):74-78. 被引量：9
5慕建君.一种形式化分析安全协议的新模型[J].西安电子科技大学学报,2006,33(3):381-385. 被引量：2
6李基鸿.VFP中自动定义Grid对象[J].现代计算机,2000,6(93):58-59.
7胡学钢,张圆圆.一种挖掘带时间约束序列模式的改进算法[J].智能系统学报,2007,2(2):89-93.
8胡学钢,张圆圆.一种序列模式发现的新方法[J].计算机应用研究,2008,25(4):1003-1005. 被引量：1
9吕倩,高君,高鑫.基于图割及均值漂移的合成孔径雷达图像强散射目标分割[J].计算机应用,2014,34(7):2018-2022. 被引量：5
10姜欢明.数据挖掘技术在制药企业CRM中的应用[J].科技风,2008(10):38-40. 被引量：2

计算机工程

2006年第20期

浏览历史

内容加载中请稍等...

基于不定长系统调用序列模式的入侵检测方法被引量：2

参考文献7

同被引文献25

引证文献2

二级引证文献4

相关作者

相关机构

相关主题

浏览历史

基于不定长系统调用序列模式的入侵检测方法 被引量：2

参考文献7

同被引文献25

引证文献2

二级引证文献4

相关作者

相关机构

相关主题

浏览历史

基于不定长系统调用序列模式的入侵检测方法被引量：2