摘要：利用系统漏洞实施攻击是目前计算机安全面临的主要威胁．本文提出了一种基于进程行为的异常检测模型．该模型引入了基于向量空间的相似度计算算法和反向进程频率等概念，区分了不同系统调用对定义正常行为的不同作用，提高了正常行为定义的准确性；该模型的检测算法针对入侵造成异常的局部性特点，采用了局部分析算法，降低了误报率．

关键词：入侵检测 异常检测 非层次聚类 

单位：中国科学院软件研究所信息安全国家重点实验室; 北京100080