基于系统调用宏的马尔可夫链入侵检测模型

作     者：徐明 丁宏 陈纯 XU Ming;DING Hong;CHEN Chun

作者机构：浙江大学计算机科学与技术学院浙江杭州310027 杭州电子科技大学计算机学院浙江杭州310018 

出 版 物：《浙江大学学报（工学版）》 (Journal of Zhejiang University：Engineering Science)

年 卷 期：2005年第39卷第2期

页      面：205-210页

核心收录：

学科分类：0839[工学-网络空间安全] 08[工学] 

基　　金：国家"863"高技术研究发展计划资助项目(2003AA1Z2120) 浙江省自然科学基金资助项目(Y104426) 浙江省教育厅高校科研计划资助项目(20040457) 

主　　题：马尔可夫链 系统调用 宏 入侵检测 

摘      要：为了精确快速地检测出程序的异常行为,建立了一种能精确刻画程序正常行为的检测模型.把正常程序行为的系统调用迹中大量有规律的、重复出现的系统调用序列看作独立的宏,以宏为基本单位构建了一个马尔可夫链模型(MCM)来检测异常入侵.通过与基于系统调用的一阶和二阶 MCM的比较发现: 基于系统调用宏的 MCM在检测性能上要高于一阶和二阶MCM;而在存储要求上它稍高于一阶MCM,低于二阶MCM;虽然在训练时间上它是一阶和二阶MCM的若干倍,但其实时检测速度要高于后两者.