Probabilistic anomaly detection based on system calls analysis

Abstract

We present an application of probabilistic approach to the anomaly detection (PAD). By analyzing selected system calls (and their arguments), the chosen applications are monitored in the Linux environment. This allows us to estimate »(ab)normality« of their behavior (by comparison to previously collected profiles). We've attached results of threat detection in a typical computer environment. W artykule przedstawiono zastosowanie propabilistycznego podejścia do rozpoznawania anomalii (PAD). Poprzez analizę wybranych wywołań systemowych (oraz ich argumentów), monitorowane są aplikacje działające pod kontrolą Linux. Pozwala to na oszacowanie (a)normalności ich zachowania (poprzez porównanie z poprzednio zebranymi profilami). Załączone są rezultaty rozpoznawania zagrożeń w typowym środowisku komputerowym.