Multi-platform sequence-based anomaly detection wrapper

   
   

A real-time sequence-based anomaly detection system is disclosed. In a preferred embodiment, the intrusion detection system is incorporated as part of a software wrapper. Event abstraction in the software wrapper enables the intrusion detection system to apply generically across various computing platforms. Real-time anomaly detection is enabled through the definition of a distance matrix that defines allowable separation distances between pairs of system calls. The distance matrix indirectly specifies known sequences of system calls and can be used to determine whether a sequence of system calls in an event window represents an anomaly. Anomalies that are detected are further analyzed through levenshtein distance calculations that also rely on the contents of the distance matrix.

Um sistema seqüência-baseado real-time da deteção da anomalia é divulgado. Em uma incorporação preferida, o sistema da deteção do intrusion é incorporado como a parte de um envoltório do software. O abstraction do evento no envoltório do software permite o sistema da deteção do intrusion de aplicar-se genèrica através das várias plataformas computando. A deteção real-time da anomalia é permitida com a definição de uma matriz da distância que defina distâncias permissíveis da separação entre pares de chamadas do sistema. A matriz da distância especifica indiretamente seqüências sabidas de chamadas do sistema e pode ser usada determinar se uma seqüência de chamadas do sistema em uma janela do evento representa uma anomalia. As anomalias que são detectadas são analisadas mais mais com os cálculos da distância do levenshtein que confiam também nos índices da matriz da distância.

 
Web www.patentalert.com

< Hub apparatus with copyright protection function

< Method, system and program products for assigning an address identifier to a partition of a computing environment

> Method and system for caching virus-free file certificates

> Method and apparatus for securely and dynamically modifying security policy configurations in a distributed system

~ 00112