| 发明名称 | 基于固有子序列模式分解的主机入侵检测方法 | ||
| 摘要 | 本发明公开了一种基于固有子序列模式分解的主机入侵检测方法,包括以下步骤:①规则定义;②获取Windows Native API数据序列,将进程的序列首先分解为一个固有子序列模式集,然后对这些固有子序列模式依照其支持度进行分层;③将疑似序列分解为若干层,每层含有相似支持度的固有子序列模式;④将正常的进程序列与疑似序列按照相应的层进行匹配,根据匹配的数量,计算出异常程度,判断疑似序列的是否异常。该方法克服了现有技术中存在的不足,能够准确、有效地识别已有的攻击和日益增多的新的攻击。 | ||
| 申请公布号 | CN101252578A | 申请公布日期 | 2008.08.27 |
| 申请号 | CN200810044516.0 | 申请日期 | 2008.04.02 |
| 申请人 | 电子科技大学 | 发明人 | 朱莺嘤;叶茂;赵欣;李丽娟;孟喜 |
| 分类号 | H04L29/06(2006.01);H04L12/24(2006.01);G06F21/00(2006.01) | 主分类号 | H04L29/06(2006.01) |
| 代理机构 | 代理人 | ||
| 主权项 | 1. 一种基于固有子序列模式分解的主机入侵检测方法,其特征在于,包括以下步骤:①规则定义:序列:序列T是其元素按照时间顺序排列的数据集,T=t1,...,tn,n是序列的长度;支持度:子序列S的支持度Sup(S)为其在序列T中出现的次数。固有子序列模式:序列T中,如果某个子序列的所有子序列的支持度与它的支持度相同,并且在序列T中,不存在与其支持度相同的子序列包含它,则该子序列被称为固有子序列模式;层:在序列T中,具有相似支持度的固有子序列模式组成一个层;序列分解:序列分解就是将一条较长的序列分解为一些固有子序列模式并形成相应的层;②获取WINdows Native API数据序列,某一进程的序列首先分解为一个固有子序列模式集,然后对这些固有子序列模式依照其支持度进行分层;③将疑似序列分解为若干层,每层含有相似支持度的固有子序列模式;④将正常的进程序列与疑似序列按照相应的层进行匹配,根据匹配的数量,计算出异常程度,判断疑似序列的是否异常。 | ||
| 地址 | 610054四川省成都市建设北路二段四号 | ||