返回
linux进程行为的模式提取与异常检测

linux进程行为的模式提取与异常检测

ID:21779412

大小:75.50 KB

页数:13页

时间:2018-10-24

linux进程行为的模式提取与异常检测_第1页
linux进程行为的模式提取与异常检测_第2页
linux进程行为的模式提取与异常检测_第3页
linux进程行为的模式提取与异常检测_第4页
linux进程行为的模式提取与异常检测_第5页
资源描述:

《linux进程行为的模式提取与异常检测》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Linux进程行为的模式提取与异常检测中国体视学与图像分析2003年9月第8卷第3期166CHINESEJOURNALOFSTEREOLOGYANDIMAGEANALYSISVol.8No.3Sep.2003:1007-1482(2003)03-0166-04Linux进程行为的模式提取与异常检测刘辉,蔡利栋(暨南大学计算机科学系,广州510632)【】Linux进程可由一系列的系统调用序列来表征,因此,通过分析进程的系统调用序列可以分析进程的行为模式。本文利用ART1X络对进程的系统调用序列进行模式提取,据此进行异常检测,并以实验数据初步验

2、证了该方法的可行性。【关键词】进程行为,模式提取,异常检测,ART1X络,系统调用序列【】TP317.4【】APATTERNCLASSIFICATIONANDANOMALYDETECTIONFORLINUXPROCESSBEHAVIORLIUHui,CAILi-dong(DepartmentofputerScience,JinanUniversity,Guangzhou,China,510632)【ABSTRACT】Analysisofprocessbehaviorcouldbemoresignificantthanthatofprogram

3、codes.Theprocessbehaviorcanbecharacterizedusingasequenceofsystemcalls.Inthis***,dash;aneuralalydetectionforlinuxprocessbehavior,primaryexperimentssuggestthatthismethodisfeasible.【KEYarin等在文献[8]中提出了另一种神经X络方法LVQ(LearningVectorQuantization)用于模式提取,它也是一种无监视的矢量分类器。AnupK.Ghosh等在文献

4、[6]中利用BPX络对进程行为进行分析。SusanC.Lee等也在文献[9]中采用了BP算法对TCP包进行分析和检测。由于进程的行为事先未知,而ARTX络是一种无监视的矢量分类器,因此可用来对进程的行为作聚类。2ART1X络先容ART(AdaptiveResonanceTheory)给出了一种在无监视方式下学习的自适应共振理论。ARTX络能够以稳定的方式对任意输进模式序列进行自主学习和模式识别,并且在它的竞争学习模型中引进了自调节控制机构,利用警戒测试解决了X络稳定性、可塑性两难题目[3]。G.A.Carpenter等在1987收稿日期:20

5、03-08-25基金项目:***安全保障持续发展计划基金(No.2001-技-157)和国家自然科学基金(No.60275028)资助简介:刘辉(1978-),女,硕士,研究方向:计算机X络信息安全、图像处理2003年9月第8卷第3期刘辉等:Linux进程行为的模式提取与异常检测167年先后提出了ART1和ART2模型[1,2]。鉴于ART1模型的如下特点[3,4],本文采用了该模型作行为分析和异常检测:•X络的输进是二进制值,这使得相似性计算易于实现,X络运行速度快;•X络的结构简单,由两层神经元组成:比较层(输进层)和

6、识别层(输出层);•X络能对任意输进观察矢量进行实时学习,不会造成新记忆破坏老记忆的严重后果;•X络的学习是自治和自组织的,无需教师指导,是一种无监视学习;•输出层遵循胜者取全胜的原则,权值的修正只涉及输出层的一个神经元,有较高的学习效率。ART1X络的结构简图如下(图中:F1是比较层,F2是识别层):图1.ART1X络结构图3利用ART1作行为模式提取和异常检测本文采用文献[3]中描述的ART1算法,并作了适当修改,使其既可用于X络的练习,还可用练习过的X络作行为分析和异常检测。3.1数据采集与预处理Linux

7、系统下的命令strace可以跟踪进程,得到进程的系统调用序列。为了进行异常检测,练习数据要责备部是在程序正常运行时得到的。然后,采用滑动窗口方式从进程的系统调用序列中得到每个短的子序列,将短的子序列映射到输进矢量空间。输进矢量的每个分量代表相应系统调用的出现与否,输进矢量的宽度(也即比较层的神经元个数)是程序运行时所有可能的不同的系统调用个数。有人可能以为Linux的系统调用不少于100个,这样输进矢量也至少要含有100个元素。事实上并非如此,本文采用的方式是对每个程序利用其多个运行实例来练习它自己的X络。对于一个程序来说,当它运行时,一般最

8、多只有十几个到几十个不同的系统调用,因此,比较层的神经元不会很多。3.2X络练习将多个进程实例的数据传给X络进行练习,并对每个模式所含的输进矢量进行计数,所有用于训

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。