基于主机系统调用序列的实时入侵检测系统的模型研究

首先介绍了基于主机系统调用的入侵检测的概念，进而说明了研究基于主机系统调用序列的实时入侵检测系统的重要性；然后提出了该系统的模型设计方案，包括结构分析、接口设计和相关算法；最后给出了仿真实验和实验数据分析。     

基于系统调用子集的入侵检测

入侵检测技术是入侵检测系统(IDS)的重要内容.根据系统调用的作用效果对系统调用进行划分,在此基础上提出基于系统调用的一个子集(W子集)的入侵检测技术.实验表明,与基于系统调用全集的方法相比,基于W子集的入侵检测技术具有较低的误报率,且所需存储空间代价和计算代价都较小,因而更加适合于实时入侵检测.     

基于系统调用的入侵检测技术研究

系统调用序列已经成为基于主机的入侵检测系统重要的数据源之一。通过对系统调用的分析来判断入侵事件,具有准确性高、误警率低和稳定性好等优点。目前国际上这方面的研究主要集中在如何设计一个有效的检查算法以提高检测效率。本文对当前国际上系统级入侵检测技术进行了总结,对主要的分析方法特别是数据挖掘技术进行了详细讨论和分析,然后设计一个基于系统调用入侵检测的通用模型。     

基于系统调用的入侵检测传感器研究与实现

Linux操作系统调用信息对于描述主机系统的安全状态有重要的作用，分析了Linux操作系统调用信息在入侵检测中的应用；阐述了入侵检测系统Host Keeper中系统调用传感器的原形框架、软件设计和实现方法；并给出了利用Linux操作系统调用信息进行入侵检测的研究。     

一种改进的基于系统调用的入侵检测算法

针对入侵检测中所采集关于系统调用的原始数据集规模很大,当前的入侵检测系统难以取得令人满意的效果的问题,提出了一种基于非负矩阵分解算法的异常入侵检测模型。对前人提出的以训练数据的系统调用序列的频率属性为基本特征判断待检测数据是否正常的检测方法进行改进,在数据预处理阶段综合考虑系统调用数据的时序、状态转移和频率属性,从而对入侵行为做出更精确的判断。实验表明,选取合适维数r可以使的入侵检测的漏报率和误报率都趋于零。     

一种基于审计的入侵检测模型及其实现机制

文中对基于系统调用序列的入侵检测进行了深入的研究,提出了一种新的基于审计事件向量的入侵检测模型(AUDIDS).这一模型除了具有系统调用序列入侵检测模型的优点外,比之已有的模型具有更丰富的语义及更高的效率.针对此模型,文中还给出了此模型在linux上的实现机制,实现了审计事件的定义、收集和存储,并对正常库的存储及匹配方法进行了改进.     

基于层次隐马尔科夫模型和变长语义模式的入侵检测方法

分析了定长系统调用短序列在入侵检测系统应用中的不足,利用进程堆栈中的函数调用返回地址信息,提出了一种变长短序列的语义模式切分方法,并根据这种变长语义模式之间的层次关系和状态转移特性提出了基于层次隐马尔科夫模型的入侵检测方法.实验结果表明,与传统的隐马尔科夫模型相比,基于层次隐马尔科夫模型的入侵检测方法具有更好的检测效果.     

基于数据取值规则的入侵检测技术

目前的入侵检测系统往往利用系统调用序列来设计,而忽略了系统调用序列所运行的数据环境,因此无法应对那些不改变系统调用序列的新型攻击.提出了一种新的入侵检测模型,它结合系统调用序列及其运行的数据环境来进行检测,通过学习系统调用序列的数据取值规则,增强模型的检测能力.实验结果表明,与现有模型相比,该方法具有检测效率高、误警率低及训练阶段时空开销小的优点.     

网络入侵检测系统的实现

论述了入侵检测系统的概念及其产生的背景，将网络入侵检测系统分为2类：一类是基于主机的入侵检测系统(HIDS)，另一类是基于网络的入侵检测系统(NIDS)；分析了现有NIDS的体系结构，着重阐述基于网络入侵检测系统的优势以及现有NIDS的存在问题和可能的解决办法，并针对新一代的入侵检测系统系统提出一些廷议。     

基于数据挖掘和变长序列模式匹配的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统.该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓.在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性.文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

基于构造性核覆盖算法的异常入侵检测

将构造性核覆盖算法引入入侵检测研究中,提出了一种基于构造性核覆盖的异常入侵检测算法,用于监控进程的非正常行为.首先分析了核覆盖分类算法应用于入侵检测的可能性,然后具体描述了核覆盖算法在异构数据集下的推广,提出了基于核覆盖的异常入侵检测模型.并以sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程.最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法.     

基于核函数Fisher鉴别的异常入侵检测

将核函数方法引入入侵检测研究中,提出了一种基于核函数Fisher鉴别的异常入侵检测算法,用于监控进程的非正常行为。首先分析了核函数Fisher鉴别分类算法应用于入侵检测的可能性,然后具体描述了核函数Fisher鉴别算法在异构数据集下的推广,提出了基于核函数Fisher鉴别的异常入侵检测模型。并以Sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程。最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法。     

一种基于程序结构图的入侵检测方法研究

利用操作系统或应用软件漏洞入侵系统是网络攻击的重要手段。提出一种使用系统调用描述程序结构的结构图,以及通过程序二进制代码自动生成结构图的方法。并介绍利用程序结构图判断程序运行状态进行入侵检测的方法。通过实验对比,说明这种检测方法是有效的。     

基于机器学习的IDS研究

入侵检测系统是保障网络信息安全的重要手段,针对现有的入侵检测技术存在的不足,提出了基于机器学习的入侵检测系统的实现方案。简要介绍了几种适合用于入侵检测系统中的机器学习算法,重点阐述了基于神经网络和数据挖掘技术的入侵检测系统的性能特点。指出了在基于机器学习的入侵检测系统中,系统构造是一个关键环节。     

Performance Evaluation of Non-prioritized and Prioritized Call Admission Control Schemes in Wireless Cellular Networks

In cellular wireless networks, the choice of Call Admission Control scheme impacts the performance of the system, particularly as how calls are managed when a mobile user is handed off from one cell to another. Non-prioritized schemes treat handoff calls and new calls equally, while, prioritized schemes give higher priority to handoff calls. In this paper, some of the popular non-prioritized and prioritized Call Admission Control schemes were investigated and their behavior was simulated and analyzed. They are evaluated based on call dropping probability, call blocking probability and system utilization parameters.     

基于进程行为的异常检测模型

利用系统漏洞实施攻击是目前计算机安全面临的主要威胁.本文提出了一种基于进程行为的异常检测模型.该模型引入了基于向量空间的相似度计算算法和反向进程频率等概念,区分了不同系统调用对定义正常行为的不同作用,提高了正常行为定义的准确性;该模型的检测算法针对入侵造成异常的局部性特点,采用了局部分析算法,降低了误报率.