基于隐马尔可夫模型的内部威胁检测方法
提出了一种基于隐马尔可夫模型的内部威胁检测方法.针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式.实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|λ)值太小而无法有效区分正常与异常的问题,检测性能更好.
内部威胁、隐马尔可夫模型、异常检测、系统调用、系统调用拦截
31
TP311(计算技术、计算机技术)
湖南省教育厅科研基金项目09c703
2010-05-05(万方平台首次上网日期,不代表论文的发表时间)
共5页
965-968,1030