为了精确快速地检测出程序的异常行为,建立了一种能精确刻画程序正常行为的检测模型.把正常程序行为的系统调用迹中大量有规律的、重复出现的系统调用序列看作独立的宏,以宏为基本单位构建了一个马尔可夫链模型(MCM)来检测异常入侵.通过与基于系统调用的一阶和二阶MCM的比较发现: 基于系统调用宏的MCM在检测性能上要高于一阶和二阶MCM;而在存储要求上它稍高于一阶MCM,低于二阶MCM;虽然在训练时间上它是一阶和二阶MCM的若干倍,但其实时检测速度要高于后两者.
国家"863"高技术研究发展计划资助项目(2003AA1Z2120);浙江省自然科学基金资助项目(Y104426);浙江省教育厅高校科研计划资助项目(20040457).
徐明 丁宏 陈纯. 基于系统调用宏的马尔可夫链入侵检测模型[J]. J4, 2005, 39(2): 205-210.
XU Meng, DING Hong, CHEN Chun. . J4, 2005, 39(2): 205-210.
http://www.zjujournals.com/xueshu/eng/CN/ 或 http://www.zjujournals.com/xueshu/eng/CN/Y2005/V39/I2/205
Cited