CSDN博客

img TimeFlying

看两篇论文

发表于2004/10/11 22:59:00  746人阅读

《一种分析系统调用序列的入侵检测系统设计与实现》

1.Forrest等提出的检测方法存在一定的不足:
  如:没有考虑程序的局部性特征;
      采用精确匹配可能会带来较高的误报率等。
2.重复系统调用的处理:
    程序运行时可能会产生多个连续相同的重复系统调用,多数情况下,这些重复系统调用使用程序中的循环语句产生的,其重复次数并不构成程序的特征。在某些情况下,这样的重复系统调用可能不是由循环产生的,但仅通过改变同一系统调用的重复次数并不能进行入侵,因此在实际处理中将多个连续相同的系统调用看成一个。
3.系统调用的相关性: 
    由程序的局部性原理可知,系统调用的间距越大,则相关程度越小。设当前系统调用位置为0,定义其前方第i个系统调用的相关度为Ri=R(i)。

《A Sense of Self for Unix Process》

Distinguishing between process:
    Table 2 in this paper compares normal traces of several common processes with those of sendmail.
    These processes have a significant number of abnormal sequences,approximately,5-32% for sequences of length 6,because the actions they perform are considerably different from those of sendmail.
    These results suggest that the behavior of different processes is easily distinguishable using sequence information alone.
 

阅读全文
0 0

相关文章推荐

img
取 消
img