基于系统调用的入侵检测传感器研究与实现

Linux操作系统调用信息对于描述主机系统的安全状态有重要的作用，分析了Linux操作系统调用信息在入侵检测中的应用；阐述了入侵检测系统Host Keeper中系统调用传感器的原形框架、软件设计和实现方法；并给出了利用Linux操作系统调用信息进行入侵检测的研究。     

基于系统调用的入侵检测技术研究

系统调用序列已经成为基于主机的入侵检测系统重要的数据源之一。通过对系统调用的分析来判断入侵事件,具有准确性高、误警率低和稳定性好等优点。目前国际上这方面的研究主要集中在如何设计一个有效的检查算法以提高检测效率。本文对当前国际上系统级入侵检测技术进行了总结,对主要的分析方法特别是数据挖掘技术进行了详细讨论和分析,然后设计一个基于系统调用入侵检测的通用模型。     

基于系统调用的入侵检测方法研究

系统调用是操作系统和用户程序的接口，任何程序都必须通过系统调用才能执行，针对系统调用进行入侵检测的实施．能增加入侵检测的准确性和正确性，并使实时监测和分层安全成为可能。本文分析了在系统调用层面上实现入侵检测的可能性和优越性，详细阐明了目前各种基于系统调用入侵检测的方法和性能比较，讨论了基于系统调用入侵检测研究的发展趋势。     

网络入侵检测系统的实现

论述了入侵检测系统的概念及其产生的背景，将网络入侵检测系统分为2类：一类是基于主机的入侵检测系统(HIDS)，另一类是基于网络的入侵检测系统(NIDS)；分析了现有NIDS的体系结构，着重阐述基于网络入侵检测系统的优势以及现有NIDS的存在问题和可能的解决办法，并针对新一代的入侵检测系统系统提出一些廷议。     

基于系统调用子集的入侵检测

入侵检测技术是入侵检测系统(IDS)的重要内容.根据系统调用的作用效果对系统调用进行划分,在此基础上提出基于系统调用的一个子集(W子集)的入侵检测技术.实验表明,与基于系统调用全集的方法相比,基于W子集的入侵检测技术具有较低的误报率,且所需存储空间代价和计算代价都较小,因而更加适合于实时入侵检测.     

一种改进的基于系统调用的入侵检测算法

针对入侵检测中所采集关于系统调用的原始数据集规模很大,当前的入侵检测系统难以取得令人满意的效果的问题,提出了一种基于非负矩阵分解算法的异常入侵检测模型。对前人提出的以训练数据的系统调用序列的频率属性为基本特征判断待检测数据是否正常的检测方法进行改进,在数据预处理阶段综合考虑系统调用数据的时序、状态转移和频率属性,从而对入侵行为做出更精确的判断。实验表明,选取合适维数r可以使的入侵检测的漏报率和误报率都趋于零。     

入侵检测系统探究

基于入侵检测系统的传统技术,分析并比较了统计模型、神经网络、数据挖掘和专家系统,提出了一种新型的基于安全状态信息库的入侵检测系统。通过建立系统安全状态数据库,在考虑入侵行为的同时,也考虑到受保护系统的防范能力;另外,通过建立可疑主机数据库,可对不同威胁级别的主机采用不同的检测和响应手段。     

低层网络攻击及检测方法

常规的探作系统因缺乏充足的审计教据使基于主机的入侵检测系统无法检测到低层网络攻击。基于网络的入侵检测系统因只依靠网上教据流而不能检测到所有攻击。本文分析了几种低层IP攻击，在分析的基础上，提出在探作系统的审计记录中添加部分审计教据，使基于主机的入侵检测系统能检测到低层网络攻击。     

基于AC自动机匹配算法的入侵检测系统研究

基于特征的网络入侵检测系统性能与其所采用的匹配算法息息相关。本文对当前入侵检测系统中几种典型的匹配算法进行了分析，并指出了这些算法在入侵检测系统应用中存在的不足，同时，给出了完整的基于AC自动机匹配算法的入侵检测系统方案，理论分析和实验结果表明该系统能够实施快速高效的入侵检测。     

基于贝叶斯的Windows注册表访问的异常检测研究

描述了一个针对Windows的基于主机的入侵检测系统。其核心是一个贝叶斯算法，此算法通过寻找异常的对Windows注册表的访问来检测基于主机的攻击，并且评价他的性能。实验结果证明谈基于贝叶斯的检测系统在检测恶意行为时是有效的，并能保持较低的误警率，其实验结果表明检测系统具有良好的性能。     

一种计算机网络信息安全模型及其应用

文章通过对计算机网络信息安全的分析，建立了计算机网络信息安全模型。并将当前影响信息安全领城的主要问题按照该模型进行分类，确定出该模型中的安全薄弱环节。文章应用命令序列、系统调用和击健输入等方法对上述薄弱环节进行了建摸描述，并在此基础上实现了主机入侵检测系统，最后给出了实验结果。     

基于代理的入侵检测模型

介绍了基于代理的入侵检测系统,提出了基于代理的入侵检测系统框架和通信反馈模型,该模型提供了基于主机和基于网络入侵检测模块的接口,为研究和测试各种入侵检测算法提供了有用框架。引入了贝叶斯推理的统计方法对检测结果进行分析,优化了系统结构,提高了检测效率。     

基于层次隐马尔科夫模型和变长语义模式的入侵检测方法

分析了定长系统调用短序列在入侵检测系统应用中的不足,利用进程堆栈中的函数调用返回地址信息,提出了一种变长短序列的语义模式切分方法,并根据这种变长语义模式之间的层次关系和状态转移特性提出了基于层次隐马尔科夫模型的入侵检测方法.实验结果表明,与传统的隐马尔科夫模型相比,基于层次隐马尔科夫模型的入侵检测方法具有更好的检测效果.     

一种基于文件访问监控的主机异常入侵检测系统

本文通过对计算机系统行为的分析,提出了以文件系统作为监控对象,采用改进的PAD算法CSSPAD进行异常检测的思想,设计并实现了基于文件访问监控的主机异常入侵检测系统.通过大量实验证明该系统具有检测率高、误报率低、运行负荷小、具有在线检测能力等特点.     

基于网络引擎入侵检测系统的研究与实现

基于滥用和基于异常的检测模型是IDS系统两大检测模型,其对应的技术即为网络引擎和主机代理.本文主机代理采用基于异常的模型进行入侵检测,与数据库中存储的入侵特征库进行比较,从而判断是否是一次攻击,从而实现一个网络引擎可以监视具有多台主机的整个网段,通过网络引擎实现企业网络中所有组件不受攻击.     

入侵检测系统（IDS）

从入侵检测系统（IDS）的概念入手，介绍它的功能、结构、接着谈到了解IDS时应该侧重的几个方面，并对两种主要的入侵检测技术（基于网络的IDS和基于主机的IDS），以及安装IDS的关键问题进行了说明，最后阐述IDS目前面临的挑战。     

分布式入侵检测系统的体系架构

由于 ＴＣＰ／ＩＰ协议的开放性，目前的网络极易受到攻击。网络入侵行为，特别是分布式入侵行为，给网络的正常运行造成了巨大的危害，阻碍了网络经济的迅速发展。为了能有效地检测和跟踪入侵行为，这里提出了一个基于智能代理的入侵检测系统的体系结构和分布跟踪算法。该系统是一个分布式实时入侵检测系统，它由智能的主机代理、网络代理和路由器／网关代理组咸。每个智能代理都是独立的实体，拥有解决问题的不完全的信息或能力，通过协同工作并使用分布跟踪算法，实时检测网络入侵行为，跟踪网络入侵者，有效地维护网络安全。     

为用户打造固若金汤的网络安全系统

凭借着对网络安全行业的深刻理解．曙光公司推出了曙光GodEye—HIDS主机入侵检测系统。根据采集数据源的不同，IDS可分为主机型IDS(Host—based IDS)和网络型IDS(Network-based IDS)两种。IDS作为主机型IDS产品．由于部署在被保护的主机上，所以它具备了其它安全措施所无法比拟的先天优势，HIDS从主机／服务器上采集数据．包括操作系统日志、系统进程，件访问和注册表访问等信息；NIDS则是直接从网络中采集原始的数据包，进行检测。HIDS的检测引擎称为“主机代理”；NIDS的检测引擎称为     

网络处理器在并行入侵检测系统中的应用研究

高速网络下实时、高效检测入侵行为是目前网络安全领域研究的热点和难点之一.文中利用网络处理器进行快速流量采集、无payload数据的预过滤和面向会话的动态负反馈负载均衡算法的分流转发,采用主机阵列分别进行带payload的数据包内容检测,研究并实现了一种基于网络处理器的并行入侵检测系统.实验测试验证了系统的有效性和可行性.     

基于windows平台下的入侵检测系统

入侵检测系统是对“防火墙”、“数据加密”等安全系统的有效补充。它能够帮助网络系统快速发现黑客攻击，并且扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。文中分析了入侵检测系统的原理，设计了基于windows平台下的入侵检测系统，并对snort的检测算法进行了改进，同时对系统进行了测试，验证了实验结果。