一种改进的基于系统调用的入侵检测算法.pdf

技术交流 Technology Discussion 数据通信 2010.2 一种改进的基于系统调用的入侵检测算法 赵欣谭小彬奚宏生(中国科学技术大学信息学院合肥230027) 摘 要：针对入侵检测中所采集关于系统调用的原始数据集规模很大，当前的入侵检测系统难以取得令人 满意的效果的问题，提出了一种基于非负矩阵分解算法的异常入侵检测模型。对前人提出的以训练数据的系 统调用序列的频率属性为基本特征判断待检测数据是否正常的检测方法进行改进，在数据预处理阶段综合考 虑系统调用数据的时序、状态转移和频率属性，从而对入侵行为做出更精确的判断。实验表明，选取合适维数r 可以使的入侵检测的漏报率和误报率都趋于零。 关键词：系统调用；入侵检测；非负矩阵分解 [1] Intrusion Detection 入侵检测 （ ）是对入侵行为的 出现的频率和顺序两个因素都加以考虑，在保证检 检测，是信息安全技术的重要组成部分。它通过收集 测阶段高效率的同时也提高了入侵检测的准确率， 和分析网络行为、安全日志、审计数据、其他网络上 唯一的代价是增加了训练阶段一次性的时间花费。 可以获得的信息以及计算机系统中若干关键点的信 息，检查网络或系统中是否存在违反安全策略的行 1 非负矩阵分解算法（NMF） 为和被攻击的迹象。按检测方法的不同，入侵检测技 NMF non- negative matrix factorization （ ）算法在 Misuse Detection [5,6] 术可分为误用检测（ ）、异常检测 1999 Lee Seung 年经 和 引入 ，处理大数据量时在特征 Anomaly Detection （ ）。根据原始数据来源的不同，入 提取和数据降维方面有突出优势。在机器学习和模 host- based 侵检测技术又分为基于主机（ ）的入侵检 式识别的应用中，矩阵的低秩逼近可以大大降低数 network- based 测和基于网络（ ）的入侵检测。本文讨 据特征的维数，节省存储和计算资源。 论基于主机的异常检测方法。 n ×m X 对于给定的 阶非负矩阵 ，可以找到两个 基于主机的入侵检测是对主机上的系统、事件、 W H X≈WH 新矩阵 和 ，使得 ，即 安全记录进行监测；异常检测方法是通过对系统异 r V ≈(WH) =∑ W H (1) 常行为的检测发现入侵行为。由于异常检测不依赖 ij ij a=1 ia aj =1,2 ,n =1,2 , W 于攻击特征，具有检测未知的攻击的能力，越来越受 其中i … ；j … m 。分解之后的矩阵 与 [2]