一种基于图的异常入侵检测新算法

根据主机系统异常入侵过程中windowsnativeapi序列的瞬时高频性，提出一种基于图的异常入侵检测算法。该算法首先将每个nativeapi映射成为图中的一个点，并以其为起点的子序列作为该点的路径、nativeapi的前后调用关系为边；其次，对图中每个点记录各自的路径，在这些点的路径中找到若干个圈，圈定义为因对同一个nativeapi重复调用而在图中出现的回路；然后，对组成圈的所有边权值根据一定规则更新；最后利用图的边与其邻边权值差计算出异常指数，判断该序列是否异常。实验结果表明该算法在wi