用用户的正常行为样本训练神经网络,提取用户的行为特征并创建用户的行为特征轮廓。如果检测到的用户行为与之有较大偏离,将被视为异常行为。
每一个进程都可以由它的执行轨迹(即从开始到结束期间的系统调用顺序列表)来描述,一个程序的正常行为可以由其执行轨迹的局部模式(短序列)来表征,而偏离这些模式则意味着入侵。所以可以通过监视进程使用的系统调用来实现入侵检测。