国家自然科学基金(60373107)
- 作品数:5 被引量:23H指数:3
- 相关作者:彭勤科李乃捷赵军平武红江黄永宣更多>>
- 相关机构:西安交通大学更多>>
- 发文基金:国家自然科学基金国家高技术研究发展计划更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于系统调用与进程堆栈信息的入侵检测方法被引量:2
- 2007年
- 提出一种利用动态提取进程堆栈中的信息来寻找不定长模式的方法。该方法以进程中产生系统调用的函数返回地址链作为提取不定长模式的依据,根据函数的结构关系对模式集进行精简,得到一组不定长模式集。在此基础上,以不定长模式作为基本单位构建了一个马尔可夫链模型来检测异常行为。实验结果表明,该方法的检测性能要优于传统的不定长模式方法和一阶马尔可夫链模型方法,能够获得更高的检测率和更低的误报率。
- 张诚彭勤科
- 关键词:入侵检测马尔可夫链
- 基于不定长系统调用序列模式的入侵检测方法被引量:2
- 2006年
- 提出了一种不定长序列模式的寻找算法,目标是从训练序列中找出一组基本的、相对独立的不定长序列模式。并在模式集的更新过程中自动定义了模式间的前后次序关系,以此构建了一个描述进程执行模式的DFA。针对已有基于不定长序列模式的模式匹配算法需要向前预测若干个系统调用号的缺点,文章设计了一个更好的模式匹配算法。实验结果表明,算法在模式寻找过程中是稳定的,并在保持一组规模很小的模式集的情况下,取得了很低的误报率和漏报率。
- 王福宏彭勤科李乃捷
- 关键词:入侵检测误报率
- 基于两层隐马尔可夫模型的入侵检测方法被引量:4
- 2008年
- 在基于系统调用的入侵检测研究中,如何提取系统调用序列模式是一个重要问题。提出一种利用进程堆栈中的函数返回地址链信息来提取不定长模式的方法。同王福宏的不定长模式提取方法相比,该方法可以取得更完备的模式集。在此基础上,基于系统调用序列及其对应的不定长模式序列构建了一个两层隐马尔可夫模型来检测异常行为,与仅利用系统调用序列信息的经典隐马尔可夫方法相比,该方法可以取得更低的误报率和漏报率。
- 周星彭勤科王静波
- 关键词:入侵检测
- 利用Windows Native API调用序列和基于决策树算法的主机异常检测被引量:4
- 2007年
- 主要研究W indows平台下的异常检测方法,提出一种利用W indows Native API调用序列和基于决策树算法的主机服务进程模式抽取算法,并通过在模式中引入通配符而大大缩减了模式集的规模。进一步引入了表征模式间关系的转移概率,建立了模式序列的全局马尔可夫链模型,并给出了相应的异常检测算法。实验结果表明:该算法可以抽取一个规模较小且泛化能力较强的模式集,相应的检测算法可以有效地检测异常。
- 李乃捷彭勤科
- 关键词:WINDOWSNATIVEAPI决策树
- 基于波动特征的时间序列数据挖掘被引量:12
- 2007年
- 针对相似度搜索是时间序列数据挖掘的基础,构造鲁棒的动态时间弯曲距离是相似性研究的关键,考虑时间序列特征点的重要意义,引入一种时间序列波动点的抽取方法,采用二叉特征树结构对原序列进行再表达.该方法既提取了序列整体趋势信息,又有效约减了数据维数.对多个数据集的层次聚类实验表明,在保证较高准确率情况下,该方法显著提高了DTW的计算效率.
- 武红江赵军平彭勤科黄永宣
- 关键词:数据挖掘动态时间弯曲距离特征抽取聚类
