作　　者： ; ; ;

机构地区： 南开大学信息技术科学学院

出　　处： 《通信学报》 2010年第3期109-114,共6页

摘　　要： 分析了定长系统调用短序列在入侵检测系统应用中的不足,利用进程堆栈中的函数调用返回地址信息,提出了一种变长短序列的语义模式切分方法,并根据这种变长语义模式之间的层次关系和状态转移特性提出了基于层次隐马尔科夫模型的入侵检测方法。实验结果表明,与传统的隐马尔科夫模型相比,基于层次隐马尔科夫模型的入侵检测方法具有更好的检测效果。 The defects of intrusion detection using fixed-length short system call sequences were analyzed. A method of extracting variable-length short system call sequences, grounded on the function return addresses stored in the process stacks, was proposed. Based on the hierarchical relationship and the state transition characteristics of the variable-length semantic patterns, a hierarchical hidden Markov intrusion detection model was presented. The experimental results show that the hierarchical hidden Markov intrusion detection model is superior to the traditional hidden Markov model.

关 键 词： 入侵检测 层次隐马尔科夫模型 系统调用 变长语义模式 进程堆栈

领　　域： [自动化与计算机技术] [自动化与计算机技术]