[01359713]基于危险理论和NSA的主机入侵检测系统及检测方法
联系人:
所在地:
- 服务承诺
- 产权明晰
-
资料保密
对所交付的所有资料进行保密
- 如实描述
登录后向技术服务商咨询
发布技术需求
服务免费,交易还可领红包哦
技术详细介绍
本发明公开了一种主机入侵检测方法,主要解决现有技术误检率高和适应性差的问题。其检测步骤为: (1)采集主机特权进程的资源使用情况和系统调用序列; (2)将采集到的资源使用情况转化为信号数据,将采集到的系统调用序列转化为抗原数据; (3)对上述信号数据和抗原数据进行训练,得到信号数据检测规则和抗原信号的检测规则; (4)利用信号数据检测规则对信号数据进行检测,确定危险区域; (5)在危险区域内,检测抗原数据,如果抗原数据检测结果异常,则认为主机中存在入侵进程,从而暂停异常进程,并将异常情况记录到日志文件中。 本发明具有误检率低和适应性强的优点,可用于在网络环境中对主机的监控。