可扩展异常检测系统的研究与实现

摘要

该文提出了一个基于异常的入侵检测系统—EAIDS,并实现了几种关于异常的检测算法.在EAIDS体系结构中采用了灵活的模块插件结构,具有秀强的可扩展性.目前系统支持两种类型插件,即数据收集器和监测器,安全管理员可以很方便的集成进新的数据收集器,以便实现新类型数据的收集,同时也可以方便的加载基于其他检测方法,基至是基于误用检测方法的检测器,实现检测功能的扩展.论文引入了三种基于异常的检测技术:相等匹配、数据挖掘、神经网络.我们的首先根据选取的特征量,即系统级调用短序列,采用三种方法对系统的正常行为进行建模,然后根据相应在的方法标只出与系统正常状态左别很大的行为,同时考虑权重和系统调用的局部性原则,从而判断是否为入侵.为了验证这几种方法的有效性,我们根据DARPA提供的数据进行了相应的验证,并对相等匹配和神经网络的算法进行了改进.