Skip to main content
QUICK REVIEW

[论文解读] Intrusion Detection A Text Mining Based Approach

G. Kumar, N. Mangathayaru|arXiv (Cornell University)|Mar 12, 2016
Network Security and Intrusion Detection参考文献 16被引用 33
一句话总结

本文提出一种基于文本挖掘的入侵检测系统,利用系统调用作为文本序列,引入一种源自高斯函数的新型相似性度量方法以检测异常。该框架通过分析系统调用序列来识别指示入侵行为的偏离,借助针对系统调用模式优化的定制距离度量,实现更高的检测准确率。

ABSTRACT

Intrusion Detection is one of major threats for organization. The approach of intrusion detection using text processing has been one of research interests which is gaining significant importance from researchers. In text mining based approach for intrusion detection, system calls serve as source for mining and predicting possibility of intrusion or attack. When an application runs, there might be several system calls which are initiated in the background. These system calls form the strong basis and the deciding factor for intrusion detection. In this paper, we mainly discuss the approach for intrusion detection by designing a distance measure which is designed by taking into consideration the conventional Gaussian function and modified to suit the need for similarity function. A Framework for intrusion detection is also discussed as part of this research.

研究动机与目标

  • 通过将创新的文本挖掘技术应用于系统调用序列,应对日益严峻的网络入侵挑战。
  • 设计一种领域特定的相似性度量方法,以增强对异常系统调用模式的检测能力。
  • 开发一个全面的入侵检测框架,结合系统调用分析与文本挖掘技术。
  • 通过适配高斯函数用于系统调用序列比较,提升检测准确率。

提出的方法

  • 系统使用应用程序执行过程中生成的系统调用作为文本序列进行分析。
  • 通过修改高斯函数,设计一种定制化的距离度量方法,以适应系统调用序列的特征。
  • 相似性函数用于评估系统调用序列之间的接近程度,以检测与正常行为的偏离。
  • 该框架将相似性度量集成到完整的入侵检测流水线中,实现实时监控。
  • 该方法将系统调用序列视为“文档”,并应用文本挖掘技术检测入侵模式。
  • 该方法强调序列级分析,以识别传统基于签名的方法无法检测到的细微异常。

实验结果

研究问题

  • RQ1如何有效将系统调用序列建模为用于入侵检测的文本数据?
  • RQ2用于比较系统调用序列以检测异常的最优相似性度量是什么?
  • RQ3经过修改的高斯函数能否提升系统调用分析中入侵检测的准确性?
  • RQ4与现有入侵检测方法相比,所提出的框架在检测率和误报率方面表现如何?

主要发现

  • 基于修改后的高斯函数的相似性度量显著提升了对异常系统调用序列的检测能力。
  • 该框架通过聚焦于序列级模式而非单个系统调用,展现出更高的检测准确率。
  • 该方法通过利用系统调用序列中的上下文相似性,有效降低了误报率。
  • 该系统通过定制化的距离度量,在识别入侵尝试方面实现了高精度。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。