基于文法的异常检测

为了解决现有异常检测技术除了简单报警外不能提供任何有用信息的问题,提出了一种新的异常检测方法.将服务器程序的运行踪迹通过一个由系统调用、操作、事务、活动组成的层次结构模型表示,利用关键系统调用及其参数和返回值,对正常运行踪迹按层次结构模型进行分割,从中学习描述程序正常行为模式的上下文无关文法,并以标注的形式为文法产生式附加语义信息.测试实验结果表明,该方法不仅能够有效检测利用安全漏洞进行的各种攻击,而且可以对入侵事件进行分析,提供包括入侵者IP地址在内的详细报告.