摘要:提出了一种新的基于规则的异常检测模型.把系统调用按照功能和危险程度进行了分类,该模型只是针对每类中关键调用(即危险级别为1的系统调用).在学习过程中,动态地处理每个关键调用,而不是对静态的数据进行数据挖掘或统计,从而可以实现增量学习.同时通过预定义,精炼规则,有效地减少了规则数据库中的规则数目,缩减了检测过程中规则的匹配时间.实验结果清楚地表明,检测模型可以有效侦测出R2L,R2R和L2R型攻击,而且检测出的异常行为将被限制在相应的请求内而不是整个系统调用迹.检测模型适合于针对特权进程(特别是基于请求--反应型的特权进程)的异常入侵检测.