论文部分内容阅读
HMM用来检测一个系统调用短序列是否异常,根据异常系统调用短序列占该进程所有短序列的百分比来判断该进程是否是入侵。考虑到当一个入侵发生时,会产生大量的异常系统调用,导致其邻近系统调用与正常系统调用不匹配。为此我们对HMM的异常检测方法作了进一步改进,改进后的方法对异常更敏感,误报率更低。