文献类型：期刊文章

作　　者：田新广[1] 邱志明[1] 李文法[2] 孙春来[2] 段洣毅[2]

机构地区：[1]海军装备研究院博士后工作站,北京100073 [2]北京交通大学计算技术研究所

出　　处：《计算机工程》

基　　金：国家“973”计划基金资助项目(2004CB318109);国家“863”计划基金资助项目(863-307-7-5);国家242信息安全计划基金资助项目(2005C39)

年　　份：2008

卷　　号：34

期　　号：2

起止页码：1-3

语　　种：中文

收录情况：AJ、BDHX、BDHX2004、CAS、CSA、CSA-PROQEUST、CSCD、CSCD2011_2012、IC、INSPEC、JST、ZGKJHX、核心刊

摘　　要：异常检测是目前入侵检测研究的主要方向之一。该文提出一种新的程序行为异常检测方法,主要用于Linux或Unix平台上以系统调用为审计数据的入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度和可信度在训练数据中提取正常模式。在检测阶段,通过序列模式匹配对被监测程序的行为异常程度进行分析,提供两种可选的判决方案。实验结果表明,该方法具有良好的检测性能。

关 键 词：入侵检测 异常检测 系统调用  数据挖掘

分 类 号：TP393]