A real-time approach for detecting aberrant modes of system behavior induced by abnormal and unauthorized system activities that are indicative of an intrusive, undesired access of the system. This detection methodology is based on behavioral information obtained from a suitably instrumented computer program as it is executing. The theoretical foundation for the present invention is founded on a study of the internal behavior of the software system. As a software system is executing, it expresses a set of its many functionalities as sequential events. Each of these functionalities has a characteristic set of modules that is executed to implement the functionality. These module sets execute with clearly defined and measurable execution profiles, which change as the executed functionalities change. Over time, the normal behavior of the system will be defined by the boundary of the profiles. An attempt to violate the security of the system will result in behavior that is outside the normal activity of the system and thus result in a perturbation of the system in a manner outside the scope of the normal profiles. Such violations are detected by an analysis and comparison of the profiles generated from an instrumented software system against a set of known intrusion profiles and a varying criterion level of potential new intrusion events.

Un metodo in tempo reale per la rilevazione dei modi aberrant di comportamento del sistema indotti dalle attività anormali e non autorizzate del sistema che sono indicative di un accesso intrusivo e indesiderato del sistema. Questa metodologia di rilevazione è basata sulle informazioni del comportamento ottenute da un programma destinato all'elaboratore adeguatamente fornito mentre sta eseguendo. Il fondamento teorico per la presente invenzione è fondato su uno studio sul comportamento interno del sistema di software. Mentre un sistema di software sta eseguendo, esprime un insieme delle sue numerose funzionalità come eventi sequenziali. Ciascuna di queste funzionalità ha un insieme caratteristico dei moduli che è eseguito per effettuare la funzionalità. Questi insiemi del modulo eseguono con i profili di esecuzione chiaramente definiti e misurabili, che cambiano mentre le funzionalità eseguite cambiano. Col tempo, il comportamento normale del sistema sarà definito dal contorno dei profili. Un tentativo di violare la sicurezza del sistema provocherà il comportamento che è fuori dell'attività normale del sistema e così provocherà una perturbazione del sistema in un modo fuori della portata dei profili normali. Tali violazioni sono rilevate tramite un'analisi e un confronto dei profili generati da un sistema di software fornito contro un insieme dei profili conosciuti di intrusione e un valore limite di variazione di nuovi eventi potenziali di intrusione.