1

Saldr tespitinde en yakn k komu uygulamas

Hidayet TAKCI GYTE Bilgisayar Mh. Bl. htakci@bilm h.gyte.ed .tr !r. "brahim #$%&K'I(A) GYTE Bilgisayar Mh. Bl. is*i+ar@bilm h.gyte.ed .tr

zet
'r,gram da-ra+./lar.+. sald.r. -e +,rmal k lla+.m /ekli+de s.+.0lara ay.rmada e+ yak.+ k k,m/ taba+l. bir s.+.0lay.c. k lla+mak ye+i bir yakla/.md.r. 'r,gram da-ra+./lar. sistem 1a2r.lar.+.+ istek s.ras. /ekli+de -erilebilece2i gibi sistem 1a2r.lar. s.kl.klar. /ekli+de de -erilebilir. Y. 3ia, 1al./mas.+da456 her bir sistem 1a2r.s.+.+ bir kelime ile7 bir *r,ses i1erisi+deki bt+ sistem 1a2r.lar.+.+ da bir d,kma+ ile s + labilece2i+i belirtmektedir. B 1al./mada ise her bir 8eb say0as. bir kelime ile her bir ,t r mda iste+e+ say0alar da bir d,kma+ ile s + lmaya 1al./.lm./t.r. Bylece d,kma+ hali+e getirile+ b -eriler meti+ s.+.0lamada k lla+.la+ e+ yak.+ k k,m/ 9k((: s.+.0lay.c.s. ile s.+.0lara ayr.labilir. B makalede sald.r. tes*iti i1i+ 8eb sitesi k lla+.m da-ra+./lar.+.+ 2re+ilmesi+de e+ yak.+ k k,m/ alg,ritmas.+.+ k lla+.m. a+lat.lmaktad.r.

5. Giri/
G-e+lik *r,blemleri 1e/itli +ede+lerde+ d,lay. her ;ama+ ,lacakt.r. #ald.r. tes*it sistemleri b g-e+lik *r,blemleri+i b lmada -e gidermede a+ahtar -a;i0e ta/.maktad.r. G-e+lik kameralar.+a be+;etilebilecek sald.r. tes*it sistemleri i1i+ ideal d r m< y;de y; atak tes*iti -e y;de s.0.r hatad.r. Halb ki g+m;+ sald.r. tes*it sistemleri b +da+ ;akt.r. #ald.r. tes*iti i1i+ iki temel yakla/.m b l + r. B +lar< ya+l./ k lla+.m tes*iti ile a+,rmallik tes*itidir. Ya+l./ k lla+.m tes*iti im;a taba+l.d.r. B im;alar daha +cede+ ya*.lm./ sald.r. da-ra+./lar.+. ta+.mlarlar. =;ellikle ticari sald.r. tes*it sistemleri+de k lla+.la+ b tek+i2i+ e+ +emli eksi2i daha +ce meyda+a gelmemi/ sald.r.lar. ta+.yamamas.d.r. !i2er yakla/.m ise a+,rmallik tes*iti yakla/.m.d.r. B yakla/.ma gre +ce +,rmal k lla+.m *r,0illeri b l + r ard.+da+ da b *r,0ilde+ sa*ma gstere+ler a+,rmal ,larak belirle+irler. 'r,0iller b l + rke+ istatistiksel y+temler k lla+.lmaktad.r. B y+temi+ ise e+ +emli *r,blemi yksek hata ,ra+.+a sahi* ,lmas.d.r. !aha etki+ sald.r. tes*iti i1i+ iki tek+i2i+ birle/tirilmesi y,l +a gidilmektedir. #,+ ;ama+larda ;ellikle sald.r. tes*iti+de da-ra+./ ta+.ma bir alter+ati0 hali+e gelmi/tir 4>7 ?6. Bir *r,gram.+ *r,0ili *r,gram 1al./t.r.l.rke+ g;lemle+e+ -e *r,gram.+ 1al./mas. es+as.+da ,l /t r la+ sistem 1a2r.lar.+.+ birle/tirilmesi+de+ ,l / r. K lla+.c. da-ra+./lar.+. kar/.la/t.rmak i1i+ ,+lar.+ k lla+d.2. *r,gramlardaki da-ra+./lar.+. kar/.la/t.rmak daha kal.c. bir 1;mdr. Bir *r,gram.+ +,rmal da-ra+./. sistem 1a2r.lar.+.+ s.ras. /ekli+de karakteri;e edilebilir. #a*malar ise *r,gram 1al./.rke+ gsterdi2i de2i/imler ,larak b l + r. @akat b yakla/.m s.k.c. bir yakla/.md.r 456. B 1al./ma 456 + maral. makalede ya*.la+ 1al./ma+.+ ba/ka bir ala+a yg la+mas. 1al./mas.d.r. $ makalede *r,gram da-ra+./lar. sald.r. tes*iti i1i+ k lla+.l.rke+ b 1al./mada 8eb k lla+.m da-ra+./. sald.r. tes*iti+de k lla+.lm./t.r. 'r,gram da-ra+./lar. yeri+e k lla+.m da-ra+./lar. ;eri+e yg la+a+ k(( s.+.0lay.c. yard.m. ile sald.r. -eya +,rmal k lla+.m dese+leri belirle+mi/tir. $t r mlarda iste+e+ 8eb say0alar.+.+ s.kl.klar. ,+lar.+ ,t r m i1erisi+deki s.ralar. yeri+e k lla+.ld.. B /ekilde ,t r m + da-ra+./. elde edilmeye 1al./.ld.. Aeb say0alar. bir kelime7 ,t r mlarda bir d,kma+ ,larak s + larak -erilere meti+ s.+.0lamada ba/ar.l. ,la+ k(( alg,ritmas. yg la+maya 1al./.ld. 4B6.

>. !a-ra+./ m,delleme ile ilgili 1al./malar

'r,gram da-ra+./lar.+.+ m,delle+mesi ile k lla+.c. da-ra+./lar.+.+ m,delle+mesi -e hatta ,t r mlar.+ m,delle+mesi k,+ lar. ay+. etki ala+. i1erisi+de b l + rlar. B +lar.+ her 1 de rahat1a e+ yak.+ k

2
k,m/ alg,ritmas.+a yg la+abilirler. !,lay.s.yla *r,gram da-ra+./lar. ile ilgili 1al./malar di2er da-ra+./ m,delleri i1i+de r+eklik ,l /t rmaktad.r. "lk 1al./ma &C !a-isCte+ K, -e arkada/lar. tara0.+da+ ya*.lm./t.r7 K, b 1al./mas.+da k ral ;ellikli bir dil k lla+arak imtiya;l. *r,gramlarda+ ba;.lar.+.+ ama1 da-ra+./lar.+. belirlemek i1i+ ilk +eriyi s +d 9set id r,,t *r,gramlar. -e +iD i1i+ daem,+lar: 4E6. 'r,gram 1al./mas. es+as.+da belirle+e+ da-ra+./ta+ 0arkl.l.k gstere+ler Fmis seG ,larak -arsay.ld.. B ara/t.rma sald.r. tes*iti+de *r,gram da-ra+./.+.+ m,delle+ebilece2i+i gstermi/tir. (e8 MeDic, +i-ersitesi+de+ @,rrestCi+ gr b ise sald.r. tes*iti i1i+ discrimi+at,r ,larak 1al./a+7 *r,gramlar tara0.+da+ yay.la+ sistem 1a2r.lar.+.+ k.sa di;ileri+i+ k lla+.m.+. ta+.tt. 4>6. (,rmal da-ra+./7 1al./a+ bir &+iD *r,sesi+deki sabit ; +l kl sistem 1a2r.lar.+.+ k.sa di;ileri ,larak ta+.mla+d. -e b +lar bir -eritaba+.+da t,*la+d.. B 1al./malar arti0icial im+ +e7 r le lear+i+g7 hidde+ mark,- m,dels gibi s.+.0lama /emalar. ile birlikte yeri+e getirilmektedir 4H7I75J6. Gh,sh -e di2erleri 4556 5IIH y.l.+da !A)'A B#M de+etleme -erisi i1i+ sistem 1a2r.lar. ile *r,gram da-ra+./.+. 2re+mek i1i+ ya*ay si+ir a2lar. tek+ikleri ;eri+de 1al./t.. 5KJ de+ 0a;la *r,gram *r,0ili ,l /t r ld . Her bir *r,gram bir ya*ay si+ir a2. ile e2itildi -e a+,rmallik tes*iti i1i+ k lla+.ld.. $+lar.+ Elma++ rec rre+t si+ir a2lar. bt+ sald.r.lar.+ L EE7? lk k.sm.+. L 5J hata ile tes*it etti. Bir1,k ara/t.rmac. bireysel *r,gram *r,0illeri i+/a etmeye ,dakla+sa bile Asaka 45J6 diskrimi+a+t a+ali; taba+l. bir y+temi k lla+d.. Bt+ 1al./malar sistem 1a2r.lar.+.+ s.ras. ile sistem 1a2r.lar.+.+ s.kl.klar.+.+ b l +mas. aras.+daki kar/.la/t.rma /ekli+dedir 4556.

?. #ald.r. tes*iti +edirM

#ald.r. tes*iti+i ta+.mlamak i1i+7 sistem -eya a2 kay+aklar.+.+ m+asebetsi;7 hatal. -eya +,rmal ,lmaya+ k lla+.mlar.+.+ +eler ,ld 2 + + bili+mesi bir ihtiya1t.r. B 7 ,rga+i;asy,+ + g-e+lik *,litikas. ,larak ta+.mla+.r. Basit ,larak g-e+lik *,litikas.< bir sistem -eya a2 ;eri+deki kay+aklara i;i+ -erili* -erilmedi2i+i+ ta+.mla+mas.d.r. #ald.r. tes*iti bilgisayar sistemi+de meyda+a gele+ ,laylar. i;ler -e ,+lar. a+ali; eder. Bir sald.r. bir kay+a2.+ g-e+ilirlik7 bt+lk -e k lla+.labilirlik ;ellikleri+i ,rtada+ kald.rmaya 1al./a+ etkidir7 b sald.r.lar her ;ama+ ba/ar.l. ,lmayabilir. B y;de+ Saldr Tespiti ta+.mla+a+ g-e+lik *,litikas.+a ayk.r. ,la+ m+asebetsi; bir sald.r.y. tes*it etme sa+at.d.r. Saldr Tespit Sistemi (STS), "+ter+et -eya yerel a2da+ gelebilecek7 a2daki sistemlere ;arar -erebilecek7 1e/itli *aket -e -erilerde+ ,l /a+ sald.r.lar. 0ark etmek ;ere tasarla+m./ sistemlerdir. Temel ama1lar. sald.r.y. tes*it etmek -e b + ilgili ki/ilere mail7 k.sa mesaN y,l yla iletmektir. Ba;e+ ya+l./ k lla+.m -e sald.r. tes*iti aras.+da bir ayr.m ya*.l.r. Saldr terimi d./ar.da+ ya*.la+ ataklar. a1.klamak i1i+ k lla+.l.r< yanl kullanm ise daha 1,k dahili a2 kay+akl. ataklar. a1.klamak i1i+ k lla+.l.r. #ald.r. tes*iti iki ta+e a+ali; met,d +a gre s.+.0la+abilirO anormallik -e yanl kullanm tes*iti. #ald.rga+lar harici -e dahili ,lmak ;ere iki ti*tir. Harici sald.rga+lar a2.+ d./.+da+ atak ya*arlar 0akat dahili bir sald.rga+ daha +cede+ bildi2i sistem ;eri+de i/lem ya*ar. I!# tara0.+da+ false positive -e false negative ,larak isimle+dirile+ iki ti* hata ,l /t r l r. False positive hatas.7 ,rtada sald.r. y,kke+ I!# tara0.+da+ sald.r. ,ld 2 karar.+a -ar.lmas. d r m +da meyda+a gelir. Bir false negative hatas. ise ger1ekte+ bir sald.r. ,ld 2 +da b + + sald.r. ,larak grlememesidir. B +a ka1ak atak ismi de -erilir. #ald.r. tes*iti+i+ ba;. 0aydalar. b l +maktad.r<

3
erke+ tes*it detayl. bilgi t,*lama t,*la+a+ bilgileri+ kay.t +iteli2i ta/.mas. gibi 0aydalar. b l +maktad.r.

#ald.r. e+gelleme i1i+< ta+.ma -e d,2r lama7 g-e+lik d -arlar.7 /i0releme tek+ikleri7 eri/im k,+tr,l gibi y+temler k lla+.lmakta ,l * b +lar tam a+lam.yla yeterli ,lamamaktad.r , y;de+ sald.r. tes*iti+e ihtiya1 d y lmaktad.r 4K6. #ald.r. tes*it sistemleri+i G,rdee-4P6 / /ekilde s.+.0lamaktad.r. Analiz Asndan Ya+l./ k lla+.m tes*iti 9Mis se !etecti,+: A+,rmallik tes*iti 9A+,mal, s !etecti,+ : ullanlan !ilgi Asndan &yg lama taba+l. H,st taba+l. A2 taba+l. "eaksiyon Asndan Akti0 sald.r. tes*iti 'asi0 sald.r. tes*iti Analiz #aman Asndan Ger1ek ;ama+l. 9real time: Aral.kl. 9i+ter-al: $imari Merke;ile/tirilmi/ !a2.t.lm./ A+ali; Yakla/.m. Ya+l./ k lla+.m tes*iti+de dese+ler -e bili+e+ ataklar.+ im;as. sald.r.lar. ta+.mak i1i+ yg + bir 0,rmda sald.r. tes*it sistemi+e -erilir. A+,rmallik tes*iti+de ise a+,rmallik sa*tay.c.lar. ile i+/a edile+ +,rmal da-ra+./ *r,0illeri+e gre sa*malar b l +maya 1al./.l.r. Bilgi Taba+l. #.+.0la+d.rma &yg lama taba+l. sald.r. tes*it sistemi yg lama katma+.+da bilgi t,*lar -e sald.r.lar. tes*it eder. 9r+e2i+ 8eb s + c lar i/lem g+lkleri retir:. H,st taba+l. sald.r. tes*it sistemi bir h,st ;eri+deki akti-ite bilgileri+i t,*lar. A2 taba+l. sald.r. tes*it sistemi ise a2 tra0i2i+i a+ali; eder. Te*ki Taba+l. Yakla/.m E2er bir sald.r. tes*it sistemi+i+ -erdi2i ce-a*lar ,t,matik ise , sistem akti0 bir sistemdir. 9r+e2i+ g-e+lik d -ar.+.+ ye+ide+ k,+0igrasy,+ 7 ser-is ka*atma:. E2er sald.r. tes*it sistemi sadece alarm retiy,rsa , ;ama+ *asi0tir. A+ali; Qama+. Yakla/.m. Bir ger1ek ;ama+l. sald.r. tes*it sistemi bilgi kay+aklar.+da+ de-aml. /ekilde bilgi ile besle+iy,rsa b ger1ek ;ama+l. bir sald.r. tes*it sistemidir. B bir ata2.+ ilerlemesi+i i;lemeye yard.mc. ,l r. 'eriy,dik -eya ;ama+ aral.kl. sald.r. tes*it sistemi+de ise bilgi belli aral.klarla akar7 sistem kesikli ,larak 1al./.r. Mimari Merkezi #T# ya bir m,+,litik m,dl ,larak ya da birbiri ile haberle/e+ #T# 0,+ksiy,+lar.+. yeri+e getire+ bir miktar m,+,litik m,dlde+ ,l / r. !a2.t.lm./ #T# ise her biri bir i/e ata+m./ -arl.klarda+ ,l / r7 da2.t.m 0i;iksel ,lmay.* 0,+ksiy,+eldir.

%eri maden&ili'i
Byk miktardaki -eri i1erisi+de+ a+laml. bilgi+i+ 1.kar.ld.2. tek+i2e -eri made+cili2i ad. -erilir. Reri made+cili2i tek+i2i+i+ 8eb -erisi+e yg la+mas.+a ise 8eb made+cili2i ad. -erilmektedir. Aeb made+cili2i temel ,larak 1 alt ala+a ayr.l.r. - 8eb i1erik made+cili2i - 8eb ya*. made+cili2i - 8eb k lla+.m made+cili2i

4
Reri made+cili2i+i+ alt ala+lar.+da+ birisi ,la+ 8eb k lla+.m made+cili2i 8eb s + c g+lk -erileri ;eri+de 1al./.r. B 1al./ma s,+ c +da k lla+.c. eri/im dese+leri y,l yla k lla+.c. da-ra+./lar. b l + r. Aeb k lla+.m made+cili2i sayesi+de b l +a+ k lla+.c. da-ra+./lar. sald.r. tes*iti+de de etki+ ,larak k lla+.labilmektedir. #ald.r. tes*iti i1i+ k lla+.la+ -eri 8eb s + c g+lkleri+deki -eriler ,ld 2 i1i+ b 1al./ma 8eb k lla+.m made+cili2i+i+ ala+.+a girmektedir.

B. Met,d,l,Ni
Elde b l +a+ ,t r m bilgileri ;eri+de meti+ s.+.0lama i/lemi ya*mak i1i+ +celikle her bir 8eb say0as.+.+ bir kelime7 her bir ,t r m +da bir d,kma+ ,larak s + laca2. bili+melidir. Aeb say0alar.+.+ istek s.ras. yeri+e 8eb say0alar.+.+ iste+me s.kl.klar. k lla+.lacakt.r. Meti+ s.+.0lamada eldeki d,kma+lar -ektrler /ekli+de i0ade edilir. B rada da elde b l +a+ ,t r m d,syalar. s.kl.k -eya tf*idf a2.rl.k tek+ikleri+de+ birisi ile -ektrlere d+/trlr. Ye+i bir ,t r m + +,rmal -eya a+,rmal ,ld 2 ise k(( s.+.0lay.c. ile b l + r. K(( s.+.0lay.c. ye+i ,t r m ile daha +cede+ e2itilmi/ ,t r mlar aras.+daki be+;erli2e -eya yak.+l.2a bakar7 yak.+l.k k k,m/ derecesi+de ise ,t r m +,rmal7 aksi halde a+,rmal kab l edilir. Meti+ s.+.0lama tek+i2i+i+ sald.r. tes*iti+e yg la+mas.+.+ e+ byk a-a+taN. sald.r. tes*iti+de elde b l +a+ 0arkl. d r mlar.+ say.s.+.+ a;l.2.d.r. Mesela bir 8eb sitesi+de ,rtalama ,larak 5JJ ci-ar.+da 8eb say0as. b l + r halb ki ,rtalama bir d,kma+ i1erisi+de 5KJJJ kelime -ard.r.

K. &yg lama a. -eri kmesi

S;eri+de sald.r. tes*iti ya*.la+ -eri7 GYTE 9Geb;e Yksek Tek+,l,Ni E+stits: Kt*ha+esi 8eb s + c s g+lk d,syalar. idi. Aeb sitesi ;eri+de b l +a+ say0alar.+ say.s. ise t,*lam 5JJ ci-ar.+da idi. T,*lam HP g+lk e2itim -erisi k lla+.ld.. Bir ,t r mdaki -eriler / /ekilde ,labilmektedir. (turum noO5>? !e0a lt.as* Bilgiler.htm Ktarama.htm Tarama.as* Ktarama.htm Tarama.as* Reritaba+lari.htm Ktarama.htm Kay+aklar.htm
rnek )ir oturumda istenen *e) sayfalarnn adlar

Elide 5JJ 0arkl. 8eb say0as. ,ld 2 i1i+ di;i y; elama+l. ,lacakt.r. =+ce s.kl.klar b l +acak -e ard.+da+ b +lar bir a2.rl.k b lma y+temi ile -ektre d+/trlecektir.

b. A+,rmallik tes*iti
E2itim ama1l. se1ile+ ,t r m d,syalar.+da+ +,rmal k lla+.m *r,0illeri b l + r. !aha s,+ra b *r,0ilde+ sa*ma gstere+ler b l +maya 1al./.l.r. B /ekilde +,rmal k lla+.m *r,0ili+de+ sa*ma gstere+leri+ a+,rmal da-ra+./ gsterdikleri tes*it edilir. #ald.r. tes*iti+de *er0,rma+s.+ l1s+ )$C 9)ecei-er $*erati+g Characteristic: de2eri -erir. Re *er0,rma+s k de2eri+e ba2l.d.r. B de2er k,m/ l 2 + l1s+ -ermektedir. B de2er K gibi bir say. ,ld 2 ;ama+ 9kTK: +,rmal ,larak -erile+ bir +,ktaya e+ yak.+ be/ +,kta+.+ da +,rmal ,larak kab l edilece2i a+la/.l.r. A+,rmallik tes*iti i1i+ k lla+.lacak e+ yak.+ k k,m/ alg,ritmas.+.+ s;de k,dlar. a/a2.da -erilmi/tir.

+, -iao tarafndan gelitirilen k.. algoritmas

ayr.ca e/ik de2eri+i+ se1imi de +emli bir k,+ d r. Ya+l./ se1ilmesi d r m +da hata ,ra+. artmaktad.r. E/ik de2eri yksek ,ld 2 ;ama+ ba;. sald.r.lar +,rmal da-ra+./ gstermekte -e tes*it edilmeleri mmk+ ,lamamaktad.r.

$etin snflama ve k.. snflay&

AT aiN /ekli+de matris ,larak -erilebilir7 aiN7 N + maral. d,kma+da b l +a+ i + maral. kelime+i+ a2.rl.2.d.r. aiN hesab. i1i+ ba;. y+temler b l + r. 0iN7 N d,kma+. i1erisi+de i + maral. kelime+i+ meyda+a gelme s.kl.2.+. -erir. (7 b l +a+ d,kma+ say.s.+. -erir. M7 birbiri+de+ 0arkl. ,la+ kelimeleri+ say.s.+. -ermektedir. +i ise bt+ k,leksiy,+daki i + maral. kelimeleri+ meyda+a gelme s.kl.2.+. -erir. E+ basit yakla/.m b,,lea+ a2.rl.k b lma yakla/.m.d.r. B yakla/.mda e2er kelime d,kma+ i1erisi+de k lla+.lm./sa 5 de2eri+e set edilir di2er d r mda J de2eri+e set edilir. !i2er basit bir yakla/.m s.kl.k a2.rl.2. y+temidir. B +a gre d,kma+ i1erisi+de kelimeleri+ ka1 ke; tekrar etti2i b l + r.

aiNT0iN
!aha ge+el bir a2.rl.k b lma y+temi ise tf*idf 9term 0reU e+cy i+-erse term 0reU e+cy: ,larak bili+ir. B yakla/.mda bt+ d,kma+lardaki kelimeleri+ k lla+.m s.kl.klar. a/a2.daki gibi b l + r.

A matrisi i1i+ sat.rlar.+ say.s. d,kma+lar.+ i1erisi+deki kelimeleri+ adedi+e ba2l.d.r. B kelimeleri+ adedi 1,k ,ld 2 ;ama+ a;altmak gerekir. B da ;ellik se1imi gibi ba;. y+temlerle yeri+e getirilir.

B rada V test d,kma+.d.r. !N7 N + maral. e2itim d,kma+.d.r. ti7 V -e ! N tara0.+da+ *ayla/.la+ bir kelimedir. Vi7 V i1erisi+deki ti kelimesi+i+ b l +ma say.s. 9a2.rl.2.d.r:. diN7 !N d,kma+.+da b l +a+ ti kelimeleri+i+ s.kl.2.+. -erir.

P. #,+ 1
#ald.r. tes*iti ya*mada da-ra+./ m,delleri+i+ k lla+.lmas. +emli a-a+taNlar sa2lamaktad.r. !a-ra+./lar. m,dellemek i1i+ b 1al./mada e+ yak.+ k k,m/ taba+l. ye+i bir alg,ritma k lla+.lm./t.r. Y. 3ia, tara0.+da+ sistem 1a2r.lar.+a yg la+a+ alg,ritma b rada 8eb say0a istekleri+e yg la+m./t.r. Ya*.la+ sald.r. tes*iti 1al./mas. meti+ s.+.0lama 1al./mas.+a be+;etilerek ya*.lm./t.r. Meti+ s.+.0lamaya gre daha a; +es+e ile 1al./.y,r ,lmas. ise b 1al./ma+.+ e+ byk a-a+taN. ,lm /t r.

Kay+aklar
5. Yiha, lia,7 R. )a, Rem ri7 F&se ,0 KW(earest (eighb,r classi0ier 0,r i+tr si,+ detecti,+G7 C,m* ters X #ec rity7 R,l >57 (, K7 ** B?IWBBH7 >JJ> >. #. @,rrest7 #. A. H,0meyr7 A. #,mayaNi7 a+d T. A. 3,gsta007 FA #e+se ,0 #el0 0,r &+iD *r,cessG7 'r,ceedi+gs ,0 5IIP IEEE #ym*,si m ,+ C,m* ter #ec rity a+d 'ri-acy7 5>JW 5>H7 5IIP. ?. K. Gh,sh7 A. #ch8art;bard a+d A. M. #hat;7 F3ear+i+g 'r,gram Beha-i,r 'r,0iles 0,r I+tr si,+ !etecti,+G7 'r,ceedi+gs ,0 5st &#E(IV A,rksh,* ,+ I+tr si,+ B. Y. Ya+g7 FED*ert (et8,rkO E00ecti-e a+d E00icie+t 3ear+i+g 0r,m H ma+ !ecisi,+s i+ TeDt Categ,ri;ati,+ a+d )etrie-alG7 'r,ceedi+gs ,0 5Eth A++ al I+ter+ati,+al ACM #IGI) C,+0ere+ce ,+ )esearch a+d !e-el,*me+t i+ I+0,rmati,+ )etrie-al 9#IGI)CIB:7 5?W>>7 5IIB. K. /enke -ee and Salvatore 0, Stolfo, !ata Mi+i+g A**r,aches 0,r I+tr si,+ !etecti,+7 C,m* ter #cie+ce !e*artme+t C,l mbia &+i-ersity P. Mikhail G,rdee-7 FI+tr si,+ !etecti,+O Tech+iU es a+d a**r,achesG7 I+stit te ,0 C,m* ter Tech+,l,gy7 Rie++a &+i-ersity7 Rie++a7 A stria7 >JJ57 a-ailable ,+li+e htt*OYY888.i+0,sys.t 8ie+.ac.atYTech+,l,gyYC, rsesYAK>Y-,rIIYt5?Y E. C. K,7 G. @i+k a+d K. 3e-itt7 FA t,mated !etecti,+ ,0 R l+erabilities i+ 'ri-ileged 'r,grams by EDec ti,+ M,+it,ri+gG7 'r,ceedi+gs ,0 5Jth A++ al C,m* ter #ec rity A**licati,+s C,+0ere+ce7 $rla+d,7 @37 !ec7 5?BW 5BB7 5IIB. H. #. @,rrest7 #. A. H,0meyr a+d A. #,mayaNi7 FC,m* ter Imm +,l,gyG7 C,mm +icati,+s ,0 the ACM7 R,l. BJ7 HHWIP7 5IIE. I. A. 3ee7 #. Z. #t,l0, a+d '. K. Cha+7 F3ear+i+g 'atter+s 0r,m &+iD 'r,cess EDec ti,+ Traces 0,r I+tr si,+ !etecti,+G7 'r,ceedi+gs ,0 AAAIIE A,rksh,* ,+ AI Meth,ds i+ @ra d a+d )isk Ma+ageme+t7 KJWKP7 5IIE. 5J. C. Aarre+der7 #. @,rrest a+d B. 'earlm tter7 F!etecti+g I+tr si,+s &si+g #ystem CallsO Alter+ati-e !ata M,delsG7 'r,ceedi+gs ,0 5III IEEE #ym*,si m ,+ #ec rity a+d 'ri-acy7 5??W5BK7 5III. 55. K. Gh,sh7 A. #ch8art;bard a+d A. M. #hat;7 F3ear+i+g 'r,gram Beha-i,r 'r,0iles 0,r I+tr si,+ !etecti,+G7 'r,ceedi+gs ,0 5st &#E(IV A,rksh,* ,+ I+tr si,+ 5>. R. (. '. !a, a+d R. ). Rem ri7 FC,m* ter (et8,rk K. Aas a+d 3. Eik-il7 T eDt Categ,risati,+O A # r-ey7 htt*OYYciteseer.+N.+ec.c,mYaasIIteDt.html7 5III. 5?. (. Ye7 V. 3i7 [. Che+ #. M. Emra+ a+d M. V 7 F'r,babilistic Tech+iU es 0,r I+tr si,+ !etecti,+ Based ,+ C,m* ter A dit !ataG7 IEEE Tra+s. #MCWA7 R,l. ?57 (,. B7 >PPW>EB7 >JJ5.