近年来Forrest等人提出以进程正常运行时产生的一定长度的系统调用短序列为模型来刻画进程正常运行状态[1].
Lee等人继Forrest的工作,应用Ripper软件包[2],从系统调用序列中挖掘正常和异常的模式,以规则的形式来描述系统的运行状态,建立了一个更简洁有效的系统正常模型[3].
Wespi等在Forrest的定长短序列思想基础上,提出用变长的序列来刻画进程的运行状态,并用实验证明了该模型有更好的检测效果[4].
Asaka等提出了一种基于Discriminantmethod的入侵检测方法,通过对预先经过标定的正常和异常系统调用序列样本的学习,确定一个最优的分类面,以此分类面为依据,判断进程的系统调用序列是正常还是异常[5].
文献: [1] Forrest S,Hofmeyr S A et al. A sense of self for Unix processes.
[2] Cohen W W. Fast effective rule induction.
[3] Lee W,Stolfo S,Chan P. Learning patterns from Unix process execution traces for intrusion detection.
[4] Wespi A,Dacier M et al. Intrusion detection using variable-length audit trail patterns.
[5] Asaka M,Qnabuta T,Inoue T,Okazawa S,GotoS. A new intrusion detection method based on discriminant analysis.
Lee等人继Forrest的工作,应用Ripper软件包[2],从系统调用序列中挖掘正常和异常的模式,以规则的形式来描述系统的运行状态,建立了一个更简洁有效的系统正常模型[3].
Wespi等在Forrest的定长短序列思想基础上,提出用变长的序列来刻画进程的运行状态,并用实验证明了该模型有更好的检测效果[4].
Asaka等提出了一种基于Discriminantmethod的入侵检测方法,通过对预先经过标定的正常和异常系统调用序列样本的学习,确定一个最优的分类面,以此分类面为依据,判断进程的系统调用序列是正常还是异常[5].
文献: [1] Forrest S,Hofmeyr S A et al. A sense of self for Unix processes.
[2] Cohen W W. Fast effective rule induction.
[3] Lee W,Stolfo S,Chan P. Learning patterns from Unix process execution traces for intrusion detection.
[4] Wespi A,Dacier M et al. Intrusion detection using variable-length audit trail patterns.
[5] Asaka M,Qnabuta T,Inoue T,Okazawa S,GotoS. A new intrusion detection method based on discriminant analysis.
1196
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
