检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
机构地区:[1]湖南文理学院计算机科学与技术学院,湖南常德415000 [2]中南大学信息与工程学院,湖南长沙410083
出 处:《计算机工程与设计》2010年第5期965-968,1030,共5页Computer Engineering and Design
基 金:湖南省教育厅科研基金项目(09c703)
摘 要:提出了一种基于隐马尔可夫模型的内部威胁检测方法。针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式。实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|)值太小而无法有效区分正常与异常的问题,检测性能更好。A new method is proposed based on hidden Markov model for insider threat detection. On the defection of higher false positive rate of using sliding window to amplify observed case sequence in solution of hidden Markov model, a primitive insider threat detection based on system call on Windows platform is planned and achieved, to detect program anomaly mode by using method of Windows Native API interception. The experiment results show that the new method has the smaller normally sketch in case of using inside running state as processing object and it overcomes hardly effectively differentiate normally or anomaly question using traditional method, it has higher performance.
关 键 词:内部威胁 隐马尔可夫模型 异常检测 系统调用 系统调用拦截
分 类 号:TP311[自动化与计算机技术—计算机软件与理论]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.117