Detecting harmful or illegal intrusions into a computer network or into restricted portions of a computer network uses statistical analysis to match user commands and program names with a template sequence. Discrete correlation matching and permutation matching are used to match sequences. The result of the match is input to a feature builder and then a modeler to produce a score. The score indicates possible intrusion. A sequence of user commands and program names and a template sequence of known harmful commands and program names from a set of such templates are retrieved. A closeness factor indicative of the similarity between the user command sequence and a template sequence is derived from comparing the two sequences. The user command sequence is compared to each template sequence in the set of templates thereby creating multiple closeness or similarity measurements. These measurements are examined to determine which sequence template is most similar to the user command sequence. A frequency feature associated with the user command sequence and the most similar template sequence is calculated. It is determined whether the user command sequence is a potential intrusion into restricted portions of the computer network by examining output from a modeler using the frequency feature as one input.

Détectant des intrusions nocives ou illégales dans un réseau informatique ou dans les parties restreintes d'une analyse statistique d'utilisations de réseau informatique aux ordres d'utilisateur d'allumette et aux noms de programme avec un ordre de calibre. La corrélation discrète s'assortissant et s'assortir de permutation sont employées pour assortir des ordres. Le résultat de l'allumette est entré dans un constructeur de dispositif et alors un modeleur pour produire des points. Les points indiquent l'intrusion possible. Un ordre des ordres d'utilisateur et des noms de programme et un ordre de calibre des commandes et des noms nocifs connus de programme d'un ensemble de tels calibres sont recherchés. Un facteur de proximité indicatif de la similitude entre l'ordre d'ordre d'utilisateur et un ordre de calibre est dérivé de comparer les deux ordres. L'ordre d'ordre d'utilisateur est comparé à chaque ordre de calibre dans l'ensemble de calibres créant de ce fait des mesures multiples de proximité ou de similitude. Ces mesures sont examinées pour déterminer quel calibre d'ordre est le plus semblable à l'ordre d'ordre d'utilisateur. Un dispositif de fréquence lié à l'ordre d'ordre d'utilisateur et à l'ordre de calibre le plus semblable est calculé. On le détermine si l'ordre d'ordre d'utilisateur est une intrusion potentielle dans les parties restreintes du réseau informatique en examinant le rendement d'un modeleur en utilisant le dispositif de fréquence en tant qu'un entré.