系統(tǒng)調(diào)用序列的入侵檢測(cè)——基于改進(jìn)的Markov模型方法.pdf

1、從20世紀(jì)80年代后期起,基于系統(tǒng)調(diào)用的入侵檢測(cè)方法的研究蓬勃興起,并且取得了很大成功,為入侵檢測(cè)技術(shù)的發(fā)展開(kāi)辟了新的研究方向。
　　 該方法是通過(guò)統(tǒng)計(jì)短序列在短期內(nèi)出現(xiàn)的情況來(lái)判別是否異常。判斷的基本依據(jù)是短序列出現(xiàn)的概率?；谙到y(tǒng)調(diào)用序列的入侵檢測(cè)方法的優(yōu)點(diǎn)是模型簡(jiǎn)單。在S.Forest最初方法的基礎(chǔ)上,許多研究者陸續(xù)提出STIDE、T-STIDE以及Markov模型等的研究方法。其中Markov模型是一個(gè)狀態(tài)轉(zhuǎn)移概率模型。

2、在該入侵檢測(cè)模型中,需要根據(jù)訓(xùn)練集中的短序列構(gòu)造Markov模型的狀態(tài)和轉(zhuǎn)移概率矩陣;然后,根據(jù)建立好的模型來(lái)檢測(cè)測(cè)試集中的短序列。這些方法和模型或多或少地提高了檢測(cè)效率。
　　 本文提出了基于系統(tǒng)調(diào)用序列的改進(jìn)Markov模型入侵檢測(cè)方法。主要對(duì)基于Markov模型的入侵檢測(cè)方法進(jìn)行了3個(gè)方面的改進(jìn):1)、提出基于系統(tǒng)調(diào)用序列的雙層Markov入侵檢測(cè)模型;2)、提出基于系統(tǒng)調(diào)用序列的Markov壓縮模型;3)、提出基于路徑熵

3、的檢測(cè)方法。這些改進(jìn)的優(yōu)點(diǎn)是提高了檢測(cè)效率和增強(qiáng)了模型的擴(kuò)展性。
　　 實(shí)驗(yàn)部分針對(duì)不同數(shù)據(jù)源,首先根據(jù)2)和3)兩點(diǎn)改進(jìn)建立了改進(jìn)的Markov模型;其次對(duì)數(shù)據(jù)源進(jìn)行了分析,提出了訓(xùn)練數(shù)據(jù)源的選擇方法;再次對(duì)檢測(cè)率和誤報(bào)率進(jìn)行了測(cè)量;最后對(duì)比了改進(jìn)的Markov模型與其它模型的效率。另外實(shí)驗(yàn)中還實(shí)現(xiàn)了壓縮的Markov模型。
　　 對(duì)實(shí)驗(yàn)結(jié)果的分析表明,改進(jìn)的Markov入侵檢測(cè)模型不但能夠正常工作,而且還能提高檢測(cè)率