系统调用参数可信度提升入侵检测模型的准确性

本文主要探讨了一种基于系统调用参数关系可信度的入侵检测模型，针对软件行为检测领域的研究热点，即如何构建更为精确和全面的行为特征模型。传统的系统调用检测着重于控制流，但随着研究的发展，研究人员开始融合控制流与数据流信息，以提升模型的识别能力。 首先，为了简化软件行为分析的复杂性，作者提出了使用模式序列进行划分的策略，这有助于对系统的动态行为进行有序和结构化的分析。这种方式可以更有效地处理大规模和高维度的数据，减少冗余和噪声。 在数据流特征描述上，模型引入了调用属性以及这些属性之间的关系，这包括但不限于函数调用的参数、返回值、异常情况等。这些属性关系反映了系统调用间的逻辑联系，为检测潜在的异常行为提供了关键依据。 接着，模型引入了两个关键概念——意外概率和支持度，以增强参数关系可信度的计算。意外概率衡量的是某个行为偏离正常模式的程度，而支持度则反映了该行为在历史数据中的普遍性。通过结合这两个因素，模型能够准确地评估一个行为是否属于潜在的入侵行为。 作者通过实验证明，该模型不仅能够有效识别出大量的异常活动，而且还能量化异常的严重程度，从而提高了异常行为判定的精确性和可靠性。这对于保护系统免受恶意攻击具有重要的实际意义。 这篇研究论文提出了一种创新的入侵检测方法，它将系统调用参数关系的信任度作为决策依据，结合控制流和数据流信息，旨在提供一个更为精细和可靠的软件行为分析框架。这对于网络安全领域的发展具有显著的推动作用，并可能成为未来入侵检测技术的一个重要研究方向。