奇异值分解快速入侵检测系统 - 印度海德拉巴大学电子笔记142 (2006)

理论计算机科学电子笔记142（2006）215-228www.elsevier.com/locate/entcs基于奇异值分解的快速入侵检测系统Sanjay Rawat桑杰·拉瓦特1，3部印度海得拉巴海得拉巴大学计算机信息科学系&IDRBTCastle Hills，Masab Tank，海得拉巴，印度阿伦K。Pujari普贾里2，4部印度海得拉巴海得拉巴大学计算机副总裁古拉蒂5号IDRBTCastle Hills，Masab Tank，海得拉巴，印度摘要传统上，数据挖掘在入侵检测系统中的应用主要集中在构建可操作的入侵检测系统上。主要强调的是数据挖掘的步骤，而其他的KDD（数据库中的知识发现）在很大程度上被忽略了。本研究探讨了谱分析技术的适用性-奇异值分解（SVD）作为预处理步骤，以减少数据的维数。这种减少通过去除噪声来突出数据中最突出的特征。这个预处理步骤不仅使数据无噪声，而且还降低了数据的维数，从而最大限度地减少了计算时间。所提出的技术可以应用到其他现有的方法，以提高其性能。我们在DARPA'98，UNM sendmail，inetd和login-ps数据集等各种数据集上进行实验，以表明数据维度的减少不会降低IDS的性能。事实上，在sendmail这样的单个应用程序监控的情况下，通过应用减少技术，我们得到了非常令人鼓舞的结果。关键词：入侵检测，异常，系统调用，进程，奇异值分解（SVD）1571-0661 © 2005 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2004.12.043216S. Rawat等人/理论计算机科学电子笔记142（2006）2151介绍随着网络计算机在关键系统中的广泛使用，计算机安全越来越受到关注，近年来入侵已成为一个重大威胁。入侵检测是监视计算机或网络中的事件并分析它们以寻找入侵迹象的过程。入侵的数量正在急剧增加，与之相关的成本也在急剧增加。Internet攻击的日益频繁和复杂性提高了系统管理员有效检测入侵所需的知识水平。 因此， 入侵检测系统（IDS），这是软件或硬件产品，自动化这一监测和分析过程[2]，已成为安全体系结构的关键组成部分。ID系统从网络活动和系统活动中收集信息。基于网络的系统在网络传输中查找特定模式，基于主机的系统在系统或其他设备生成的审计文件中查找这些模式。根据这些收集的信息，ID系统决定活动是正常的还是侵入的。我们可以将身份识别系统分为两类：基于误用的系统和异常检测系统。误用检测是指遵循明确定义的攻击模式的入侵，这些模式利用了系统中的弱点。误用检测技术对已知攻击具有较高的检测率，但在出现新的攻击时表现不佳，甚至这是以前已知攻击的一种变体。异常检测系统试图对通常或正常行为进行建模（学习），这些行为由组织的安全策略定义。任何明显偏离这一既定行为的行为都被标记为潜在入侵。这类ID系统具有检测新攻击和先前已知攻击的变体的能力，但由于缺乏对攻击性质的了解，误报率非常高。基于异常的系统还面临着获取干净的正常数据用于学习的问题。在实时网络中，通常很难声称拥有干净的正常数据。通常，数据包含一些背景活动，称为噪声，有时会降低ID系统的整体性能。此外，如前所述，需要大量的知识来检测攻击的存在。换句话说，我们应该收集尽可能多的信息，使攻击可以表现在这个，但更大1感谢匿名评论者的有益评论和VODCA OC的资助，以介绍这篇论文。2 感谢麻省理工学院，印度的财政支持。3电子邮件：sanjayr@idrbt.a c。In4 电子邮件地址：akpcs@uohyd.ernet.in5 电子邮件地址：vpgulati@idrbt.ac.inS. Rawat等人/理论计算机科学电子笔记142（2006）215217要处理的数据量越大，与之相关的时间和空间成本就越高。这导致识别存在的延迟从而破坏了IDS的主要目的，即及时检测攻击。目前的网络以mbps和gbps的速度工作，从而在几秒钟内产生大量的数据。这对现代ID系统以这种速度处理数据提出了挑战。此外，我们使用DARPA数据的经验表明，在不获取其他不必要信息的情况下提取正常和重要的过程级信息非常困难，因为数据在时间上非常密集。因此，我们可能会得到一些信息，这是没有用的区分正常的过程和异常的。鉴于上述讨论，实际上希望处理尽可能少的数据，其充分捕获表现攻击所需的所有信息。此外，已经观察到[10]，IDS中基于数据挖掘的研究集中在操作IDS的构建上，而不是发现对数据、攻击和误报的本质的新的和基本的见解。主要强调的是数据挖掘的步骤，而其他的KDD（数据库中的知识发现）在很大程度上被忽略了。在目前的工作中，我们专注于预处理的数据进行分析，入侵检测和调查的数据被送入基于主机的系统，而不降低系统的性能，通过严格的实验分析，减少维数的方法。这项工作借鉴了信息检索的方法之一-潜在语义索引（LSI）[4，3]。我们利用谱分析来减少通过使用奇异值分解（SVD）从系统调用序列导出的向量（稍后解释）的大小[8]。我们用不同的数据集进行测试，证明了我们方法的有效性- DARPA'98和UNM sendmail数据- inetd数据、ps数据和登录数据。我们还将DARPA'98数据上的实验结果与Liao和Vemuri [ 13 ]最近提出的一个建议进行了比较本研究的主要贡献是：• 通过引入奇异值分解（SVD）技术，可以在不降低入侵检测系统性能的前提下降低数据的维数。• 为了展示该方法的有效性，我们提供了严格的实验结果，在各种数据集上进行- DARPA本文的其余部分组织如下：第2节简要介绍了在这一领域的一些相关工作。在第3节中，我们将介绍一些作为背景工作的主题，如LSI和SVD。建议的计划载于218S. Rawat等人/理论计算机科学电子笔记142（2006）215详情见第4节。所有的实验分析和结果都在第5节中提供，然后是第6节，该节以关于未来工作的说明结束工作。2相关工作基于异常的入侵检测系统具有识别新攻击的能力，因为任何攻击都将不同于正常活动。然而，这样的系统具有非常高的误报率[2]。 因此，在基于异常的入侵检测领域进行了大量的研究[1]。Denning在异常检测领域的一项开创性工作[5]描述了一种通过监控系统的审计记录来检测计算机滥用的模型。在这种方法中，学习受试者（用户）的概况，并使用统计方法（平均值和标准差）来计算与正常行为的偏差Lane等人[11]提出了另一种捕获用户行为的方法。为每个用户维护一个用户通常发出的UNIX命令序列数据库。使用相似性度量将任何新的命令序列与该数据库进行比较。另一种方法，由Forrest等人[6，9]发起，捕获进程的正常行为，因为程序在正常执行的一段时间内表现出稳定的行为。在这种方法中，使用短序列的系统调用来描述进程。在不同数据集上进行的实验显示了该方法的有效性[18]。Lee等人[12]采用了类似的方法，但他们使用了规则学习器RIPPER来形成分类规则。Sato等人[17]提出了一种基于进程的配置文件的方案，该方案是根据系统调用的排名构建的。 他们使用一种称为DP匹配的模式匹配方法来测量已配置流程和新流程之间的距离。人工神经网络也被用于异常检测[7]，因为它们能够学习行为并从这种学习中进行概括。在他们的方法中，Ghosh等人使用漏桶算法来捕获时间局部性。Liao和Vemuri [13]提出了一种基于kNN分类器的新方案，其中每个进程都被视为一个文档，每个系统调用都被视为该文档中的一个单词。该方法将进程转化为一个向量，利用余弦相似性度量来计算进程间的相似性。在最近的建议[16]中，通过引入不同的度量并考虑过程中系统调用的顺序，Liao的方法得到了进一步改进。本文提出的方案也遵循类似的方法，使用kNN分类器进行过程分类。S. Rawat等人/理论计算机科学电子笔记142（2006）2152193背景在本节中，我们将提供必要的背景知识来理解我们方案中使用的技术。本节还概述了廖和Vemuri的方案，以使本文完整，因为所提出的方案在廖的方案上实现了SVD技术。然而，所提出的技术可以与利用特征向量的任何方法一起使用（即，数据应该被用作向量）。根据Denning的观点，实体的正常行为与侵入行为（异常行为）有很大的因此，在进程监视方法的情况下，在正常执行下，进程表现出一种模式，该模式不同于在利用进程发动攻击的命令下的模式。一个进程可以用它所做的系统调用来表示。应该注意的是，为了在正常情况下表现出特定的模式，进程所做的系统调用之间应该有一些高度的相关性换句话说，某些系统调用的出现导致其他相关系统调用的出现如果可以捕获系统调用的这种在此背景下，我们试图探讨的思想，应用潜在语义索引（LSI）的方法来建立一个异常的IDS。LSI是一种相关文档检索方法[4]，被搜索引擎[3]使用。除了了解文档包含哪些关键字之外，该方法还将文档集合作为一个整体进行检查，以查看哪些其他文档包含某些相同的单词。LSI将具有许多共同词的文档视为语义上接近的，而将具有很少共同词的文档LSI查看一组文档中的单词分布模式（特别是单词共现）。在应用LSI的过程中，构建逐文档矩阵A =[a ij]，其中a ij是第j个文档中第i个词的频率，i = 1，.，m和j =1，…， n. 因此，每个文档都表示为m维术语空间中的向量[4]。在这个空间中，具有许多共同单词的文档将具有彼此接近的向量，而具有很少共享单词的文档将具有远离的向量LSI通过使用称为奇异值分解（SVD）的线性代数方法分解矩阵A，将这个大的多维空间向下投影到更小的维度数中来工作，该方法将在下一节中详细描述这样做，语义相似的单词将被挤在一起，不再是完全不同的。220S. Rawat等人/理论计算机科学电子笔记142（2006）215×3.1奇异值分解SVD与许多其他领域的数学和统计技术密切相关，包括特征值分解，谱分析和分形分析[8]。设A为如上所述的逐文档术语矩阵。则A的SVD由下式给出：（一）JA=T0S0D0其中T0和D0是左奇异向量和右奇异向量的矩阵，S0是A的奇异值（AT A或AAT的特征值的平方根）按降序的对角矩阵。T0和D0具有正交标准列.这些特征值描述了每个分量的方差初始时S0是一个nn矩阵，奇异值填充对角线上的前r位，r=rank（A）。T0的列可以被认为是可伸缩性意味着T0的列跨越一个r维的向量空间，因此可以被视为该空间中的轴。可以看出，T0的第一列中的条目是正数，这表明在所有文档中倾向于出现的术语其他列中的“0”可以是正的或负的。一个术语的否定否定条目意味着当文档中存在一些其他术语时，具有否定条目的术语不太可能存在。S0中的奇异值（以及矩阵D0中的条目）表示每个文档中不同的“项”有多重要，而那些相同的奇异值（以及矩阵T 0中的条目）表示每个文档对语料库的贡献有可以看出[15]，J J矩阵S0D0是文档i这个空间的基础是项向量的集合，在这个意义上，T0的每一列都是新空间中的一个轴。 所以每个文档都有沿着轴由T0的每一列定义。如果两个文件（即两排J对于给定的坐标i具有高值，则可以推断，这些文档的特征很强，由列I. SVD允许使用较小矩阵的最佳近似拟合的简单策略。在矩阵S0中，保持第一个最大值，因此矩阵T0和D0的大小调整如下：J(2)Al= Tl Sl DlJ其中T1是m×l矩阵，S1是l×l矩阵，D1是 是l×n矩阵。 的新矩阵A1近似等于A，并且秩为1。 的量降维，即L的选择对我们的工作至关重要，应该仔细选择 矩阵S1提供缩放，在这个意义上，J“缩放”矩阵S1D1（例如= B）的任何行i，行中的S. Rawat等人/理论计算机科学电子笔记142（2006）215221×JB的i是文档j沿着由第i列的Tl[15]。 任何相似性度量（例如余弦相似性）或点J乘积SIDl的两个列向量之间的乘积揭示了这两个文件具有类似的条款。任何查询q也是被视为伪文档，其中q是大小为1-m的行向量。这个新向量被映射到新空间中，如下所示：(3)qTS−1Ll该变换后的查询可以被视为矩阵Al的列之一，并且因此可以与其余列进行比较以找到最相似的文档，如上所述。由于我们将我们的方法应用于Liao和Vemuri最近的一个方案，并将我们的方法的实验结果与Liao的方法进行比较，因此在下一节中，我们简要描述Liao的方案，以使本文自成一体。3.2Liao和Vemuri基于主机的异常检测方案在文献中提出了许多方法来构建HIDS。一种常用的方法是根据进程调用的系统调用来监视进程。Unix系统下的各种进程被转换成向量，使用这些进程在正常情况下调用各种系统调用的频率或出现。在此之后，可以应用一些分类器将未来的过程实例分类为正常或异常。Liao和Vemuri [13]提出了一种基于kNN分类器的方法，其中程序（进程）调用的系统调用频率用于定义程序本文提出了一个比喻之间的文本分类和入侵检测，在这个意义上，每个系统调用被视为一个词和一组系统调用的过程中产生的文档。从DARPA'98 BSM数据中收集正常执行下的进程从所有正常进程中，形成矩阵A=[aij]，其中aij表示第j个进程中第i个为了将一个新的过程P分类为正常或异常类，首先将过程P转换为一个向量。然后，kNN分类器将其与A中的所有过程Aj进行比较，以通过使用等式4给出的余弦公式计算相似度Sim（P，Aj）来确定k个最近邻居。P. Aj(4)Sim（P，A）=P222S. Rawat等人/理论计算机科学电子笔记142（2006）215其中，X=X.X计算k个最近邻居的平均相似性值，并且阈值已设置。当平均相似度值高于阈值时，过程P被认为是正常的，否则是异常的。4建议计划鉴于上述讨论，我们建议，如果我们用系统调用替换术语，用进程替换文档，并对进程集合应用SVD，则可以捕获进程中发生的系统调用之间的相关性。因此，系统调用的这种共同出现可以被视为正常行为的模式。因此，在这项工作中，我们利用频谱分析技术- SVD，在数据的预处理阶段，以减少空间的维数。这不仅减少了计算时间，而且还消除了噪声，如前所述，并通过下一节中的实验结果显示如前所述，进程可以表示为它们进行的系统调用序列。这些序列显示了在正常执行下系统调用的共现模式可以构造关联矩阵A，并且可以通过使用等式2使用SVD来获得其截断形式Al。使用SVD的主要优点是，它试图捕获在大多数进程中一起发生的系统调用，并将它们更接近地投影到一个新的低维空间中通过这种方式，共享公共系统调用的进程将变得比共享很少公共系统调用的进程更相似。在IDS的上下文中，每个新进程都被视为一个查询，J文档数据库（即包含在产品SIDl中的正常过程）。因此，每个新过程P首先使用方程3 .第三章。这一新的变革过程，即P-1，再次使我们认识到，J乘积S1D1 使用等式4给出的余弦相似性度量。 在该阶段kNN算法被应用于将该过程分类为正常的或者不正常在其他情况下，因为这是一个非常重要的核心，J与每个列计算并按降序排序第一个k得分是选择并计算其平均值如果这个平均值大于如果该阈值是预定义的阈值，则该过程被宣布为正常，否则为异常。5实验设置和结果我们的目标是使用SVD来降低空间的维数，并在不降低系统性能的情况下去除噪声。我们S. Rawat等人/理论计算机科学电子笔记142（2006）215223×选择两个数据集进行实验- DARPA'98 BSM数据和UNM数据，用于各种应用，如sendmail，inetd，login和ps。执行所有实验的代码都是用Matlab编写的[14]，在Windows 2000机器上运行。5.1DARPA数据DARPA'98 BSM数据是广泛用于评估基于主机的入侵检测系统的数据集。因此，我们选择这个数据集来测试我们的方案。选择这一套的另一个原因是，廖和Vemuri最近提出的一个建议，[13]使用相同的数据，他们的计划，我们有兴趣显示我们的计划与廖的计划的性能。然而，我们重复实验与廖我们使用1998年DARPA数据的BSM审计日志来训练和测试我们的算法。在分析了整个训练数据之后，我们提取了训练数据中出现的53个唯一系统调用。实际上，这些系统调用中的3个是原始系统调用之一，但具有不同的suf-fix/prefix。在分析整个BSM日志（列表文件）时，我们找到了没有任何类型攻击的五在这四天的数据中，总共报告了1937个正常会话。我们仔细提取了这些天发生的过程，我们的训练数据集由769个独特的过程组成。第五天有412个正常会话，我们从这些会话中提取了4443个正常进程用于测试数据。为了测试我们的方法的检测能力，我们将40侵入会话到我们的测试数据。如果与此会话相关的任何进程被归类为异常，则称为检测到侵入式会话。因此，检测率被定义为检测到的入侵会话的数量除以入侵会话的总数。在这种情况下，关联矩阵A的大小为53 769。 我们计算 A.为了降低矩阵的维数，我们选择了大于100（l= 15）、大于20（l= 22）和大于10（l=27）的奇异值进行实验。对于kNN分类器，我们选择三个值K= 5， 10，15。为了测量该方法的有效性，我们用这些值的不同组合进行了实验。在实验的基础上，给出最佳结果的组合是K= 5、 10、 15和l= 27。结果如表1所示。该组合在23%的假阳性率下实现了100%的检测率，这是与其他方案相当的结果如前所述，我们计算结果使用廖下面的表2总结了廖的方案的结果在这种情况下，我们达到了100%的检测率224S. Rawat等人/理论计算机科学电子笔记142（2006）215l=27K= 5K=10K=15阈值FP博士阈值FP博士阈值FP博士0.200.060.730.200.060.800.200.060.800.240.080.830.240.090.850.240.110.850.270.090.850.270.120.850.270.120.850.300.120.930.300.150.930.300.170.950.330.150.950.330.180.980.330.180.980.370.231.00.370.231.00.370.231.00.400.251.00.400.251.00.400.251.0表1在l= 27时，K= 5、 10、 15的不同值的假阳性率与检出率阈值FP博士0.9300.0080.700.9500.0350.730.9700.0540.830.9800.0580.920.9850.1290.950.9900.1810.950.9920.2111.00表2Liao方案的假阳性率与检测率当向量大小为1× 53时，其检测率为21%，而当向量大小为1× 27时，其检测率为100%因此，我们实现了几乎相同的性能与向量大小低至一半的向量Liao方案中的大小Liao方案的总计算就计算时间和及时回应而言，我们认为这是一个很好的改善。我们的下一轮实验涉及从UNM网站（http://www.cs.unm.edu/）获得的数据集，这将在下一节中描述。5.2UNM数据我们用UNM数据集进行实验的目的是测试LSI的另一个方面，从而在ID系统领域中测试SVD。如前所述，LSI根据文档中单词的共现来理解文档和单词的语义含义。这种共现率非常高S. Rawat等人/理论计算机科学电子笔记142（2006）215225Liao和建议方案在l=27 k= 5，10，1510.950.90.850.80.750.70.05 0.1 0.15 0.20.25假阳性率Fig. 1. Liao方案和建议方案的ROC曲线如果文档属于一个类别（主题）。在DARPA BSM数据的情况下，虽然为训练收集的过程是正常的，但它们属于不同的应用。其中一个含义是，捕获许多不同系统调用（单词）和过程（文档）的提取的共同含义组件[4]。这可能是DARPA数据中误报率有点高的原因。UNM站点的数据集可用于不同的应用程序，即每个数据集属于一个类别（主题）。我们选择sendmail、inetd、login和ps数据集进行实验。在下面的段落中，我们详细介绍了我们对每个人的实验结果。5.2.1Sendmail数据集sendmail程序是在运行SunOS 4.1.1的麻省理工学院人工智能实验室中跟踪的。 在正常的数据集中，收集了大约三天，最初有71767个轨迹。我们丢弃一些非常大的进程，最终集合由65026个进程组成。其中，我们保留了3000个进程用于测试数据集。这些剩余的62024个进程再次被处理以提取10764个唯一进程。我们分离出6000个过程进行训练，剩下的4764个过程与已经选择的3000个过程混合。因此，我们的正常测试数据集由7764个进程组成，其中至少有4764个进程未用于训练集。 由于没有攻击数据集与此跟踪的sendmail，我们选择攻击数据从UNM合成sendmailk=5k=10k=15廖检出率226S. Rawat等人/理论计算机科学电子笔记142（2006）215data（http://www.cs.unm.edu/）的攻击：Sunsendmailcp入侵、Decode入侵和Error condition - forwarding loop。在测试数据集中总共涉及八次攻击。关联矩阵A由正常过程构造，并使用SVD分解。在我们的实验中，我们考虑奇异值大于20（l= 28）和kNN的前10个最相似的过程。我们得到了100%的检测率，假阳性低至0.06%。然而，当我们分析入侵进程时，我们发现它们中的大多数包含的系统调用不在正常系统调用的集合中。这可能是由于我们为侵入式数据选择了不同的数据集，其中映射可能是不同的。尽管如此，我们能够区分正常的异常过程的矢量大小仅为1×28，而原始大小为1 × 64。5.2.2inetd、登录和ps数据集inetd程序在后台启动守护进程，然后退出。利用此程序的入侵是一种DoS攻击，它会占用网络连接资源。 培训的正常流程共有三个即用于构造关联矩阵A。由于缺乏足够数量的正态过程[18]，我们无法测试这些数据集的假阳性率。有一个针对该程序的攻击，涉及29个进程。在正常执行下，这3个进程总共进行了35次唯一系统调用。在我们的实验中，我们选择l= 3和K= 3，即我们将所有过程都考虑到kNN分类器。 在0.25的阈值下，我们可以识别攻击。最令人鼓舞的是，大小为1 ×3（约短12倍）的向量足以判断正常或异常。对于登录数据集，记录了两次木马入侵攻击.共有12个正常的训练过程。在程序的正常执行过程中，发生了47次对于实验，我们选择大于1的奇异值，即l= 6。我们为kNN分类器选择K= 4。在阈值仅为0.04时，我们能够检测到这两种攻击。 使用这个小值，可以说所有正常进程都不应该被检测为入侵，因此预期假阳性率非常低。同样，我们能够在向量大小为1×6时实现此性能（原始大小为1 × 47）。ps给出当前进程的快照。与登录程序一样，记录了两次针对此数据的攻击，其中涉及木马入侵。这些入侵允许未经授权的访问系统通过一个内置的“后门”。共有24个正常的训练过程和22个独特的S. Rawat等人/理论计算机科学电子笔记142（2006）215227系统调用。 对于实验，我们选择大于1的奇异值，即l= 6。我们为kNN分类器选择K= 4。在阈值仅为0.28时，我们能够检测到这两种攻击。同样，我们能够在向量大小仅为1× 6（原始大小为1× 22）的情况下实现此性能从上述实验的角度来看，可以断言，数据约简确实通过节省计算量而提高了ID系统的性能。时间和减少数据中存在的噪声。6结论和今后的工作本研究没有提出一种新的方法来分类数据为正常或异常，而是集中在数据的预处理。正如Julisch [10]的研究所观察到的那样，入侵检测中的数据挖掘主要用于构建检测入侵的“黑匣子”。通过本文的研究，我们探索了入侵检测过程中一个不太受关注，但很重要的领域。我们的研究表明，通过应用LSI技术，可以降低数据的维数，而不损失其性能。 实验结果还表明，这种减少方法在“每个应用程序”数据集（例如登录，inetd等）的情况下表现更好这些知识可以用来捕获程序的正常配置文件，以便更好地构建入侵检测系统。引用[1] Axelsson，S.，入侵检测系统的研究：调查，技术报告第98-17号，部门。计算机工程，查尔姆斯理工大学，哥德堡，瑞典，1999年。[2] 巴斯河和Mell，P.，NIST Special Publication on Intrusion Detection Systems，SP800-31，NIST，Gaithersburg，MD，2001.[3] 贝 里 ， M 。 W. ， Dumais ， S. T. O'Brien ， G. W. ， Using Linear Algebra for IntelligentInformation Retrieval，SIAM Review37（4），（1995），573[4] Deerwester，S. Dumais，Susan，T.，Furnas湾W.，兰道尔，T. K.和Harshman，R.， 潜在语义分析索引，美国信息科学学会杂志，41（6），（1990），391[5] Denning，D. E. 一个入侵检测模型，在：1986年IEEE安全与隐私研讨会（SSP[6] Forrest，S.，Hofmeyr，S.一、Somayaji，A.和Longsta，T.一、A Sense of Self for UnixProcesses ， 收录 于1996 年 IEEE 安 全与 隐私 研 究研 讨会 论 文集 Los Alamitos ， CA.IEEEComputer Society Press，（1996），120228S. Rawat等人/理论计算机科学电子笔记142（2006）215[7] 戈什，A. K.和Schwartzbard ，A.，A Study in Using Neural Networks for Anomaly andMisuse Detection ， In ： Proceedings of the 8th USENIX security Symposium.Aug ，Washington D C USA，（1999），141[8] 戈卢布湾H.和van Loan，C. F.、“Matrix Computations”, John Hopkins University Press, 3rdedition,[9] Hofmeyr，S.一、Forrest，A.和Somayaji，A.，使用系统调用序列的入侵检测，计算机安全杂志。6，（1998），151[10] Julisch，K.， 数据挖掘用于入侵检测：一个批判性的评论，于：芭芭拉D，Jajodia S（ eds. ） “ApplicationsofDataMininginComputerSecurity”,KluweracademicsPublishers,Boston,[11] Lane，T.和Brodly，C. E、机器学习在异常检测中的应用，见：第20届全国信息系统安全会议论文集，（1997），366[12] 李，W.，Stolfo，S.和Chan，P.，Learning Patterns from Unix Process Execution Traces forIntrusion Detection，In：Proceedings of the AAAI97 workshop on AI methods in Fraud and riskmanagement，（1997），50[13] 廖，Y.和Vemuri，V.R.，使用K最近邻分类器进行入侵检测，计算机安全，21（5），（2002 a），439[14] MATLAB -技术计算语言。网址：http://www.mathworks.com。[15] 尼古拉斯角和Dahlberg，R.，用奇异值分解发现主题，在：Proc. PODDP[16] Rawat，S.，Gulati，V. P.和Pujari，A. K.，基于频率和排序的相似性度量用于基于主机的入侵检测，接受于：J Information Management and Computer Security，12（5），Emerald Press，2004。[17] 佐藤岛Okazaki，Y.和Goto，S.，一种基于进程剖析的改进入侵检测方法，IPSJ Journal，43（11），（2002），3316[18] Warrender，C.，Forrest，S.和Pearlmutter，B.，使用系统调用检测入侵：替代数据模型，IEEE安全与隐私研讨会，（1999），133