-
公开(公告)号:CN100346611C
公开(公告)日:2007-10-31
申请号:CN200510042882.9
申请日:2005-06-30
Applicant: 西安交通大学
Abstract: Linux环境下基于调用栈图的入侵检测方法,本发明通过获取系统调用对应的调用栈信息建立指定进程的调用栈图,并结合带最大匹配度的优先搜索和带滑动窗口的异常度度量方法,实现了对指定进程的系统调用调用链的异常检测机制。通过带最大匹配度的优先搜索,可以把被检测进程的系统调用的调用链在其对应的调用栈图上进行匹配,以获得到最大匹配度。实验结果表明在攻击检测水平相当的情况下,本发明系统的误警率要远低于国内外的同类系统。
-
公开(公告)号:CN1710866A
公开(公告)日:2005-12-21
申请号:CN200510042882.9
申请日:2005-06-30
Applicant: 西安交通大学
Abstract: Linux环境下基于调用栈图的入侵检测方法,本发明通过获取系统调用对应的调用栈信息建立指定进程的调用栈图,并结合带最大匹配度的优先搜索和带滑动窗口的异常度度量方法,实现了对指定进程的系统调用调用链的异常检测机制。通过带最大匹配度的优先搜索,可以把被检测进程的系统调用的调用链在其对应的调用栈图上进行匹配,以获得到最大匹配度。实验结果表明在攻击检测水平相当的情况下,本发明系统的误警率要远低于国内外的同类系统。
-
公开(公告)号:CN1731310A
公开(公告)日:2006-02-08
申请号:CN200510043053.2
申请日:2005-08-04
Applicant: 西安交通大学
IPC: G06F1/00
Abstract: 本发明公开了一种Windows环境下的主机入侵检测方法,通过分析和建立Windows环境下的指定进程的多阶Native API一致模型和被检测进程产生的Native API序列之间的相关性来发现异常入侵。实际训练阶段,收集指定进程的Native APIs数据并存储在数据库中。对原始数据的分析包括一阶分析和二阶分析,分析和处理数据集合中的一阶和两阶状态转移来建立一阶和二阶模型;在测试阶段,指数迭代检测算法计算Native APIs对应的一阶和二阶Native APIs的正常指数值。在实际系统中,设计了报警提取方法,使在指数迭代检测率的不断变化波动中,对出现的异常事件进行准确地发现和提取,并进行正确的报警。
-
公开(公告)号:CN1328638C
公开(公告)日:2007-07-25
申请号:CN200510043053.2
申请日:2005-08-04
Applicant: 西安交通大学
IPC: G06F1/00
Abstract: 本发明公开了一种Windows环境下的主机入侵检测方法,通过分析和建立Windows环境下的指定进程的多阶Native API一致模型和被检测进程产生的Native API序列之间的相关性来发现异常入侵。实际训练阶段,收集指定进程的Native APIs数据并存储在数据库中。对原始数据的分析包括一阶分析和二阶分析,分析和处理数据集合中的一阶和两阶状态转移来建立一阶和二阶模型;在测试阶段,指数迭代检测算法计算Native APIs对应的一阶和二阶Native APIs的正常指数值。在实际系统中,设计了报警提取方法,使在指数迭代检测率的不断变化波动中,对出现的异常事件进行准确地发现和提取,并进行正确的报警。
-
-
-
Search Results
4
records
(took 0.016 seconds)
