CAJ | 학술논문

异常检测是目前入侵检测领域研究的热点内容.提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统.该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓.在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性.文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能.
이상검측시목전입침검측영역연구적열점내용.제출일충기우수거알굴화변장서렬모식필배적정서행위이상검측방법,주요용우Unix혹Linux평태상이계통조용위심계수거적주궤형입침검측계통.해방법이용수거알굴기술중적서렬모식대특권정서적정상행위진행건모,근거계통조용서렬적지지도재훈련수거중제취정상모식,병건립다충모식고래표시일개특권정서적행위륜곽.재검측계단,고필도심계수거화특권정서적특점,채용료변장서렬모식필배산법대정서역사행위화당전행위진행비교,병제공료량충판결방안,능구연합사용다개창장도화판결문한대정서행위진행판결,제고료검측적준학솔화령활성.문중제출적방법이응용우실제입침검측계통,병표현출량호적검측성능.