10.3969/j.issn.1000-3428.2007.07.050
基于系统调用与进程堆栈信息的入侵检测方法
提出一种利用动态提取进程堆栈中的信息来寻找不定长模式的方法.该方法以进程中产生系统调用的函数返回地址链作为提取不定长模式的依据,根据函数的结构关系对模式集进行精简,得到一组不定长模式集.在此基础上,以不定长模式作为基本单位构建了一个马尔可夫链模型来检测异常行为.实验结果表明,该方法的检测性能要优于传统的不定长模式方法和一阶马尔可夫链模型方法,能够获得更高的检测率和更低的误报率.
入侵检测、系统调用、调用堆栈、函数返回地址、不定长序列模式、马尔可夫链
33
TP393.08(计算技术、计算机技术)
国家自然科学基金60373107;国家高技术研究发展计划863计划2003AA142060
2007-05-28(万方平台首次上网日期,不代表论文的发表时间)
共5页
139-142,148
