基于隱馬爾可夫模型的程序行為異常檢測

張響亮　王　偉　管曉宏

摘要：針對入侵檢測中普遍存在誤報與漏報過高的問題，提出了一種基于隱馬爾可夫模型的程序行為異常檢測新方法．該方法以程序正常執行過程中產生的系統調用序列為研究對象，建立計算機的正常程序行為模型．在入侵檢測時，先對測試的系統調用數據用滑動窗口劃分得到短序列，再根據正常程序行為的隱馬爾可夫模型求得每個測試短序列的輸出概率，如果系統調用短序列的輸出概率低于給定閾值，則將該短序列標定為“不匹配”，如果測試數據中不匹配的短序列數占總短序列數的百分比超過另一給定閾值，該模型就認為此程序行為異常．實驗結果表明，與Forrest和Lee的方法相比，所提方法的檢測率的最大提高率可達590％．

關鍵詞：入侵檢測；隱馬爾可夫模型；異常檢測；系統調用

中圖分類號：TP393文獻標識碼：A文章編號：0253—987X(2005)10—1056—04