论文部分内容阅读
程序行为异常检测是保护应用程序的重要方法。针对异常检测的数据源选择问题,提出一种细粒度的安全审计事件L-Call,用来刻画程序行为,该事件本质上是一种具有位置属性的系统调用。为了评估程序行为偏离程度,提出一种基于切比雪夫不等式的异常度量化方法,用以在序列概率分布未知情况下估算异常强度。最后实现了基于马尔科夫模型的检测原型系统LC-ADS。试验结果表明,提出的新安全事件和异常度量化方法可较好地反映程序行为变化,LC-ADS取得了更高的检测率和更低的误报率。