基于层次隐马尔科夫模型和变长语义模式的入侵检测方法.pdfVIP

第 31 卷第 3 期 2010 年 3 月 通信学报 JournaJ OD CommunicatioDs 基于层次隐马尔科夫模型和变长语义模式的入侵检测方法 段雷涛 1，贾春椅 13，刘春波 l (1.南开大学信息技术科学学院，天津 3创则71; 2. 国家计算机病毒应急处理中心，天津 3∞457) 而1.3 1 No.3 March2010 摘 要z 分析了定长系统调用规序列在入侵检测系统应用中的不足，利用进程堆战中的函数调用返回地址信息， 提出了…种变长短序列的语义模式切分方法，并根据这种变低语义模式之间的层次关系和状态转移特性提出了基 于居次隐马尔科夫模型的入侵检测方法。实验结果表明，与传统的隐马尔科夫模型相比，基于层次隐马尔科夫模 型的入侵检测方桂具有更好的检测敢果。 关键调z 入侵检测:腾次酶马尔科夫模型:系统调用:男~*悟义模式:进程堆桔 申圈分费号:T的16 文献标识码:A 文章编号:10∞-436X(201 0)03-0 1 09-06 Intrusion detection method based on hierarchical hidden Markov model and variable幽length semantic pattern DUAN Xue-tao 1 , JIA Chun-fu 1气 LIUChun心。1 (1. CoUege of lnfonnation TωhnologíωIScí侃侃， N础ai Universi纱，吼叫阳 3仪)()71 ， China; 2.N剧ional Compu阳 Virus 巳mergency Respo幽e Cen田， Tí叫ín3ω457，China) Abstrad: The defects of intrusion d巳也ction using fixed-length short system call sequences were analyzed. A method of extracting variable-length short system call s叫uenω喝， grounded on 由e function reωm addresses stored in the process stacks, wωproposed. Based on the hierarchical relationship and 也estate 位ansition characteristics of the variable-len部h semantic 阴阳口邸， a hierarchical hidden Markov intrusion detection model was presenωd.ηle experimental results show 阳I 仕le hierarchical hidden Markov intrusion d伽ction model is superiorω阳 traditíonal hidden Markov model. Key words: intrusion de伽ctíon; hierarchical hidden Markov model; system call; variable-length semantíc pattem; pl1侃 ess stack 1 ~I 宫 入侵检测是计算机信息系统安全保障的关键 技术之一，是位于防火墙和访问控制之后重要的安 全防护措施。 Forrest[l ，21等人将人工免疫的思想引入 到入侵检测技术中，构造计算机系统的正常行为模 式库，井通过比对系统运行时的模式与正常行为模 式库的方法来判断系统是否异常或被入侵。 收稿日期: 2009-09-02: 修回日期: 2010-01-12 目前，大多数研究人员通常都利用…组起长的 系统调用短序列模式来描述进程的正常运行状态。 使用定长短序列方法的一个主要局限就是很难合 理地选择知序列的快度。一般来说，定长短序列的 长度通常是根据经验来选择，序列的氏度一般地取 为 4~夜 8 之间。短序列模式越长，入侵检测系统就 越倾向于捕获更多的异常，但间时模式库的规模会 越大，算法的执行效事也会降低，而且更熏耍的是 基金明自 1 国家自然科学藕金资助项目 (ω973141): 天津市自然科学越金资助项目(09JCYBJω300 ) Foundation Items: 刊e National Natural Scíence Foundation of China (ω973141); The Natural Science Foundation of Tianjin (仰JCYBJ∞3ω) ? 1