会议专题

基于非层次聚类的异常检测模型

查看全文→
越来越多的攻击者利用各种漏洞实施攻击, 通过监控特权进程的系统调用序列是检测这类攻击的有效手段之一. 本文重点研究了基于系统调用的异常检测模型. 针对现有模型中存在的对训练数据要求高, 误报率高等问题, 本文提出了基于非层次聚类的异常检测模型. 该模型通过无监督的训练模式, 降低了对训练数据要求; 利用基于非层次聚类的正常行为轮廓生成算法提高了正常行为轮廓质量, 降低了正常行为轮廓规模; 模型中针对入侵造成异常的局部性特点, 检测算法采用了局部分析算法, 并引入了滤噪函数, 降低了误报率. 并且, 模型中还引入了正常行为轮廓更新算法, 更有利于保证正常行为轮廓与实际应用环境的一致性. 通过大量实验评估,该模型在正常行为轮廓质量, 检测效率和检测准确性等方面优于现有模型.

入侵检测 异常检测 系统调用 非层次聚类

苏璞睿 冯登国

信息安全国家重点实验室(中国科学院软件研究所)中国科学院研究生院,北京100080

国内会议

2005中国计算机大会

武汉

中文

2005-10-13(万方平台首次上网日期,不代表论文的发表时间)