文献类型：期刊文章

作　　者：彭新光[1] 靳燕[1]

机构地区：[1]太原理工大学计算机科学与技术系,太原,030024 太原理工大学计算机科学与技术系,太原,030024

出　　处：《计算机研究与发展》

基　　金：山西省自然科学基金项目(20041047);太原理工大学博士基金项目(12903376)

年　　份：2007

卷　　号：44

期　　号：z2

起止页码：286-290

语　　种：中文

收录情况：AJ、BDHX、BDHX2004、CSA-PROQEUST、CSCD、CSCD2011_2012、EI、IC、JST、RCCSE、SCOPUS、ZGKJHX、核心刊

摘　　要：正确识别短序列的局部行为性质,是提高系统调用跟踪异常检测精度的关键要素.通过分析特权程序和不同短序列的行为模式空间,认为实际采集的系统调用跟踪不仅包含了具有显著局部行为特征的正常和异常短序列,也包含了大量局部行为归属不明确的短序列.以短序列模式在系统调用跟踪中出现频度为基础,提出了未知短序列概念.根据短序列分别在正常和攻击时段具有聚类效应原理,专门设计了短序列关联算法.采用RIPPER学习算法归纳出简洁的频度模式分类规则集.实验结果表明,创建的频度模式分类异常检测方法明显地提高了对未知和已知攻击的检测能力.

关 键 词：系统安全 异常检测 系统调用  模式分类  

分 类 号：TP393.08]