论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　从上述结果可以看出:

　　1)所提出的基于系统调用和进程堆栈信息的HMM入侵检测方法是有效的。无论是Ftp数据还是Samba数据，异常序列的异常度比正常序列的异常度明显要高得多。因此，使用所提出的方法能够很容易地将程序的正常行为和异常行为区分出来，从而给检测系统提供一个较大的阈值范围选择。

　　2)提出的方法与Warrender的方法都能够检测出所有的异常进程，2个方法对于测试数据的漏报率相同，在误报率方面提出的方法要比Warrender方法略好。可见，提出的方法可以保持在一个较低误报率的情况下，有效且准确地检测出针对系统的攻击行为。

　　3)提出的方法对正常行为模型的训练的时间消耗要远远少于Warrender方法。例如，训练近83万条系统调用需耗时约36min左右，而经典的HMM方法则需要耗时约22h。

　　4、总结

　　首先介绍了隐马尔可夫模型的基本概念，隐马尔可夫模型的3个基本问题及相关算法。然后根据隐马尔可夫模型的结构特点，提出一种利用系统调用和函数调用链2方面信息来联合构建特权进程的正常行为模型的方法，将系统调用作为隐马尔可夫模型的隐状态，函数调用链作为隐马尔可夫模型的观察符号，利用一种更为简单的训练算法来得到模型的各个参数。检测时，根据一段函数调用链的序列连续出现的概率和异常度来检测整条序列是否异常。实验结果表明:提出的方法能够有效区分进程的正常行为和异常行为;与经典HMM方法相比，该方法的训练时间消耗要小得多，因此具有更好的实时性以及实用性，即可作为一种实时有效的在线入侵检测方法。

　　参考文献:

　　［1］王建，冯伟森．基于KAD网络内容监督的关键技术研究［J］．四川大学学报:工程科学版，

　　［2］张莉萍，雷大江，曾宪华．基于频率特征向量的系统调用入侵检测方法［J］．计算机科学，

　　［3］郜燕，刘文芬．基于隐Markov过程的网络信任评估模型［J］．四川大学学报:工程科学版，

　　［4］周星，彭勤科，王静波．基于两层隐马尔可夫模型的入侵检测方法［J］．计算机应用研究，

　　［5］李丛．基于HMM的网络入侵检测研究［J］．计算机与数字工程，

　　［6］储泽楠，李世扬．基于节点生长马氏距离K均值和HMM的网络入侵检测方法设计［J］．计算机测量与控制，