基于隱馬爾可夫模型的程序行為異常檢測

張響亮　王　偉　管曉宏

摘要：針對入侵檢測中普遍存在誤報與漏報過高的問題，提出了一種基于隱馬爾可夫模型的程序行為異常檢測新方法．該方法以程序正常執(zhí)行過程中產(chǎn)生的系統(tǒng)調用序列為研究對象，建立計算機的正常程序行為模型．在入侵檢測時，先對測試的系統(tǒng)調用數(shù)據(jù)用滑動窗口劃分得到短序列，再根據(jù)正常程序行為的隱馬爾可夫模型求得每個測試短序列的輸出概率，如果系統(tǒng)調用短序列的輸出概率低于給定閾值，則將該短序列標定為“不匹配”，如果測試數(shù)據(jù)中不匹配的短序列數(shù)占總短序列數(shù)的百分比超過另一給定閾值，該模型就認為此程序行為異常．實驗結果表明，與Forrest和Lee的方法相比，所提方法的檢測率的最大提高率可達590％．

關鍵詞：入侵檢測；隱馬爾可夫模型；異常檢測；系統(tǒng)調用

中圖分類號：TP393文獻標識碼：A文章編號：0253—987X(2005)10—1056—04