买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：中科曙光(南京)计算技术有限公司

摘要：本发明公开了一种应用程序的入侵检测方法，具体包括如下步骤：步骤100：有序调取系统调用记录，生成实时系统调用列表；步骤200：采用N‑Gram算法将实时系统调用列表分成多个字节片段，并根据每条系统调用记录中出现的字节片段的种类及频次生成系统调用包；步骤300：根据正常行为数据库和异常行为数据库，通过分类算法对系统调用包进行预分类，统计每个属于异常行为的系统调用包的频次是否超过规定值，并根据统计结果更新正常行为数据库及异常行为数据库。根据上述技术方案的应用程序的入侵检测方法，通过采用N‑Gram算法将有序的系统调用分成若干字节片段，降低入侵检测方法的存储空间需求，同时保证入侵检测方法的准确率。

主权项：1.一种应用程序的入侵检测方法，其特征在于，包括如下步骤：步骤100：有序调取系统调用记录，生成实时系统调用列表；步骤200：采用N-Gram算法将实时系统调用列表分成多个字节片段，并根据每条系统调用记录中出现的字节片段的种类及频次生成系统调用包；步骤300：根据正常行为数据库和异常行为数据库，通过分类算法对系统调用包进行预分类，统计每个属于异常行为的系统调用包的频次是否超过规定值，并根据统计结果更新正常行为数据库及异常行为数据库;所述步骤300中的正常行为数据库和异常行为数据库，由以下步骤训练生成：步骤400：当操作执行完毕，系统调用停止新增时，调取所有的系统调用记录并生成系统调用列表副本；步骤410：采用N-Gram算法将系统调用列表副本分成多个字节片段，并统计每个字节片段的出现频次；步骤420：取所有字节片段中出现频次排名前N的字节片段，依据出现频次为每个字节片段标记索引1至N生成字节片段索引表，在字节片段索引表的末尾增加索引N+1用于对应所有未出现在字节片段索引表内的字节片段，其中N为大于0的自然数；步骤430：根据已知的正常行为及异常行为将系统调用列表副本分为正常行为样本及异常行为样本，并根据正常行为样本及异常行为样本中每条调用记录中出现的字节片段的种类及频次生成系统调用包，统计正常行为样本中的调用记录生成的系统调用包及其出现频次构建正常行为数据库，统计异常行为样本中的调用记录生成的系统调用包及频次构建异常行为数据库;所述步骤200及所述步骤430中的系统调用包都根据所述步骤420中的字节片段索引表生成，系统调用包的结构为，其中表示该条系统调用中，字节片段索引表中索引为i的字节片段出现的次数，i为大于0的自然数，且小于等于N。

全文数据：

权利要求：

百度查询： 中科曙光(南京)计算技术有限公司 应用程序的入侵检测方法