基于进程轨迹最小熵长度的系统调用异常检测

doi:10.3724/SP.J.1087.2012.03439

计算机应用 ›› 2012, Vol. 32 ›› Issue (12): 3439-3444.DOI: 10.3724/SP.J.1087.2012.03439

基于进程轨迹最小熵长度的系统调用异常检测

吴瀛¹,²,江建慧²

1. 安徽建筑工业学院计算机科学与技术系，合肥 230022
2. 同济大学软件学院，上海 201804

收稿日期:2012-06-14 修回日期:2012-07-27 发布日期:2012-12-29 出版日期:2012-12-01
通讯作者: 吴瀛
作者简介:吴瀛(1970-), 男, 安徽宿松人，讲师，博士研究生，主要研究方向:信息安全、入侵检测、机器学习；〓江建慧(1964-), 男, 浙江淳安人，教授，博士生导师，主要研究方向：可信计算、软件可靠性工程、计算机辅助技术(设计、测试与评估)。
基金资助:
国家863计划项目

System call anomaly detection with least entropy length based on process traces

WU Ying¹,²,JIANG Jian-hui³

1. Department of Computer Science and Technology, Anhui Institute of Architecture and Industry, Hefei Anhui 230022, China
2. School of Software Engineering, Tongji University, Shanghai 201804, Chin
3. School of Software Engineering, Tongji University, Shanghai 201804, China

Received:2012-06-14 Revised:2012-07-27 Online:2012-12-29 Published:2012-12-01
Contact: WU Ying

摘要/Abstract

摘要： 进程的系统调用轨迹蕴藏着程序行为不变性和用户行为不变性这两种不变性，其中，程序行为不变性可进一步细分为时间顺序不变性和频度不变性。已有的系统调用异常检测技术研究工作均集中于程序行为不变性，忽视了用户行为不变性。从系统调用中的频度不变性出发，研究了系统调用轨迹中的用户行为不变性及其描述手段，并提出采用最小熵长度描述这种不变性。在 Sendmail 数据集上的实验表明，最小熵长度较好地描述了系统调用轨迹中的用户行为不变性，结合程序行为不变性，可以极大地提高系统调用异常检测性能。

关键词: 入侵检测, 系统调用, 程序行为不变性, 用户行为不变性, 最小熵长度

Abstract: In system call trace of a process, there are two kinds of invariability, program behavior invariability and user behavior invariability, of which the former can be further subdivided into temporal order invariability and frequency invariability. The existing researches on system call based intrusion detection techniques focus on program behavior invariability only, ignoring user behavior invariability. Based on frequency invariability embedded in process traces, the existence and description of user behavior invariability were studied, on which the least entropy length was proposed to measure the invariability. The experiment on Sendmail datasets shows that, least entropy length excellently describes user behavior invariability and significantly improves the performance of system call anomaly detection with the help of program behavior invariability.

Key words: intrusion detection, system call, program behavior invariability, user behavior invariability, least entropy length

中图分类号:

TP309

吴瀛江建慧. 基于进程轨迹最小熵长度的系统调用异常检测[J]. 计算机应用, 2012, 32(12): 3439-3444.

WU Ying JIANG Jian-hui. System call anomaly detection with least entropy length based on process traces[J]. Journal of Computer Applications, 2012, 32(12): 3439-3444.

[1]	张师鹏, 李永忠, 杜祥通. 基于半监督学习和三支决策的入侵检测模型[J]. 计算机应用, 2021, 41(9): 2602-2608.
[2]	王月, 江逸茗, 兰巨龙. 基于改进三元组网络和K近邻算法的入侵检测[J]. 计算机应用, 2021, 41(7): 1996-2002.
[3]	王垚, 孙国梓. 基于聚类和实例硬度的入侵检测过采样方法[J]. 计算机应用, 2021, 41(6): 1709-1714.
[4]	张全龙, 王怀彬. 基于膨胀卷积和门控循环单元组合的入侵检测模型[J]. 计算机应用, 2021, 41(5): 1372-1377.
[5]	任晓奎, 刘鹏飞, 陶志勇, 刘影, 白立春. 基于单快拍信号到达角估计算法的室内入侵检测[J]. 计算机应用, 2021, 41(4): 1153-1159.
[6]	程小辉, 牛童, 汪彦君. 基于序列模型的无线传感网入侵检测系统[J]. 计算机应用, 2020, 40(6): 1680-1684.
[7]	欧彬利, 钟夏汝, 代建华, 杨田. 基于变精度覆盖粗糙集的入侵检测方法[J]. 计算机应用, 2020, 40(12): 3465-3470.
[8]	李中伟, 谭凯, 关亚东, 姜文淇, 叶麟. 车载CAN总线脱离攻击及其入侵检测算法[J]. 计算机应用, 2020, 40(11): 3224-3228.
[9]	池亚平, 莫崇维, 杨垠坦, 陈纯霞. 面向软件定义网络架构的入侵检测模型设计与实现[J]. 计算机应用, 2020, 40(1): 116-122.
[10]	杨宏宇, 王峰岩. 基于改进卷积神经网络的网络入侵检测模型[J]. 计算机应用, 2019, 39(9): 2604-2610.
[11]	曹卫东, 许志香. 高效的半监督多层次入侵检测算法[J]. 计算机应用, 2019, 39(7): 1979-1984.
[12]	潘建国, 李豪. 基于实用拜占庭容错的物联网入侵检测方法[J]. 计算机应用, 2019, 39(6): 1742-1746.
[13]	郭旭东, 李小敏, 敬如雪, 高玉琢. 基于改进的稀疏去噪自编码器的入侵检测[J]. 计算机应用, 2019, 39(3): 769-773.
[14]	胡健, 苏永东, 黄文载, 肖鹏, 刘玉婷, 杨本富. 基于互信息加权集成迁移学习的入侵检测方法[J]. 计算机应用, 2019, 39(11): 3310-3315.
[15]	沈学利, 覃淑娟. 基于SMOTE和深度信念网络的异常检测[J]. 计算机应用, 2018, 38(7): 1941-1945.

基于进程轨迹最小熵长度的系统调用异常检测

System call anomaly detection with least entropy length based on process traces

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics