基于粗糙集值约简改进算法进程异常检测.docVIP

下载本文档

9
0
约1.13万字
约 21页
2018-08-30 发布于福建
举报
版权申诉

基于粗糙集值约简改进算法进程异常检测.doc

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

基于粗糙集值约简改进算法进程异常检测

基于粗糙集值约简改进算法进程异常检测　　摘要:提出一种新的基于粗糙集值约简和系统调用的进程异常检测方法。为了提高约简效率,改进了基于差别矩阵的粗糙集值约简算法。另外创建了一种新的检测模型,能在判断进程是否异常的基础上进一步识别异常种类。它以系统调用短序列中??k??个位置作为条件属性集,以进程类型作为决策属性,建立决策表;然后使用改进的值约简算法提取规则集,并对规则匹配的结果作统计;最后判断进程类别。实验表明该方法能高效准确地识别异常进程的种类。　　关键词:系统调用;粗糙集;约简;异常检测　　中图分类号:TP393.08 文献标志码:A 　　文章编号:1001-3695(2010)03-1064-04 　　doi:10.3969/j.issn.1001-3695.2010.03.072 　　　　Abnormal detection of processes based onimproved rough set value reduction algorithm 　　　　WANG Hui,LIU Feng,ZHAO Zhi-hong,LUO Bin 　　(Software Institute, Nanjing University, Nanjing 210093, China) 　　Abstract:This paper proposed a new method for abnormal detection of processes based on RS value reduction and system calls.Improved the algorithm of rough set value reduction based on discernibility matrix to increase the reduction efficiency.And built a new detection model.It could not only tell whether the process was normal or abnormal, but also identified the type of the abnormality.First,made a decision table by using the ??k?? positions in the short sequences of system calls as the conditional attributes and the type of the process as the decision attribute.Then applied the new RS value reduction algorithm to extract a rule set.At last,identified the type of the process by the statistical figures of comparison between the process’ sequences of system calls and the rule set.The experiment shows that this method can identify the processes’ types efficiently and correctly. 　　Key words:system calls; rough set; reduction; abnormal detection 　　0 引言　　入侵检测是对恶意破坏计算机和网络资源的行为进行识别和警报的过程,是计算机安全领域研究的热点课题之一。根据被检测的数据源,它可以分为主机入侵检测和网络入侵检测;按照数据分析方法,又可以分为误用检测和异常检测。　　基于系统调用序列的进程异常检测是主机入侵检测的重要内容。1996年,Forrest等人[1,2]发现利用进程运行时产生的系统调用流可以精确地刻画进程的运行状态,从而提出了时延嵌入序列法(tide)。它通过构造一系列定长的系统调用短序列来描述进程的正常行为轮廓,然后计算目标进程和正常轮廓的不匹配程度,进而分辨出该进程是否异常。之后,Warrender等人[3]又根据异常短序列的局域特征提出了序列tide法(stide),并进一步扩展为基于频率阈值的stide法(??t??-stide)。此外,还可以基于神经网络[4]、HMM[5]等工具进行主机入侵检测,这些方法检测率高,但训练时间更长。　　　　文献[6]提出一种基于粗糙集约简的系统调用序列异常检测方法,其基本思想是利用粗糙集约简对第??k??个系统调