隐马尔可夫模型用于主机调用异常检测研究.pdfVIP

2005年中国模糊逻辑与计算智能联合学术会议论文集 88l 隐马尔可夫模型用于主机调用异常检测研究 钱权，安景琦，王煦法 (中国科学技术大学计算机科学技术系，合肥230027，Emall：qq@ustc．edu) 摘要：入侵检测尤其是异常检测的困难在于如何定义所谓的“正常”情况，它需要对系统安全有足够的背景知识，如 何在领域知识缺乏的情况下，识别系统的异常行为，对于异常检测的实际应用有着十分重要的意义。本文研究了隐Markov 模型(HMM)在系统调用异常检测上的应用，综述了系统调用异常检测常用的检测方法，讨论了HMM模型用于异常检 测的原理、系统模型，并结合实验研究了全状态转移和部分状态转移的HMM模型对系统调用异常检测效果的影响，并 结合实验就检测模型的实时性做了分析。 关键词：隐马尔可夫模型；主机系统调用：异常检测 Research On Hidden Markov Model for System Call Anomaly Detection QtAN Quan，An Jing—qi,WANG Xu-fa (Department of Computer Science，University of ScienceTechnology of China，AnHui 230027，Email：qq@ustc．edu) Abstract：Intrusion detection，es