A real-time sequence-based anomaly detection system is disclosed. In a
preferred embodiment, the intrusion detection system is incorporated as
part of a software wrapper. Event abstraction in the software wrapper
enables the intrusion detection system to apply generically across various
computing platforms. Real-time anomaly detection is enabled through the
definition of a distance matrix that defines allowable separation
distances between pairs of system calls. The distance matrix indirectly
specifies known sequences of system calls and can be used to determine
whether a sequence of system calls in an event window represents an
anomaly. Anomalies that are detected are further analyzed through
levenshtein distance calculations that also rely on the contents of the
distance matrix.
Um sistema seqüência-baseado real-time da deteção da anomalia é divulgado. Em uma incorporação preferida, o sistema da deteção do intrusion é incorporado como a parte de um envoltório do software. O abstraction do evento no envoltório do software permite o sistema da deteção do intrusion de aplicar-se genèrica através das várias plataformas computando. A deteção real-time da anomalia é permitida com a definição de uma matriz da distância que defina distâncias permissíveis da separação entre pares de chamadas do sistema. A matriz da distância especifica indiretamente seqüências sabidas de chamadas do sistema e pode ser usada determinar se uma seqüência de chamadas do sistema em uma janela do evento representa uma anomalia. As anomalias que são detectadas são analisadas mais mais com os cálculos da distância do levenshtein que confiam também nos índices da matriz da distância.
