共查询到17条相似文献,搜索用时 277 毫秒
1.
栗晓晗张新有 《微电子学与计算机》2022,(12):77-85
随着虚拟化技术的爆炸式增长,Docker已占领了容器技术主流市场,但由于其轻量级的隔离方式导致安全问题频出.如阿里、京东、字节跳动等企业都开始采用Docker容器技术,容器安全与用户的财产安全紧密相关,而针对Docker容器安全的研究还存在较大欠缺,高效且安全的虚拟化解决方案需求也逐步增加.本文提出一种基于系统调用的Docker容器异常检测方案(Docker Anomaly Detection Based on System Call,DADBS),旨在通过分析系统调用序列,捕获容器运行时应用程序所发生的异常进程行为.DADBS通过跟踪容器内运行进程收集应用程序系统调用序列,结合系统调用级别及多级别TF-IDF量化评分筛选序列冗余信息,使用长短期记忆神经网络学习正常行为构建系统调用语言模型,最终采用余弦相似度偏差进行异常判断.经云环境下实验证明该模型在ADFA公开数据集上取得0.848的AUC值,且在Docker容器实际攻击场景都能够高效检测出进程异常行为. 相似文献
2.
基于数据挖掘和变长序列模式匹配的程序行为异常检测 总被引:1,自引:0,他引:1
异常检测是目前入侵检测领域研究的热点内容.提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统.该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓.在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性.文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能. 相似文献
3.
针对已有的进程行为异常检测模型的不足,本文给基于机器学习的思想,提出一种新的进程行为异常检测方法.该方法通过将系统调用序列的时间顺序向量化,作为机器学习的输入,使用k邻近分类和朴素贝叶斯分类两种机器学习算法,对于进程行为的特征向量进行异常分类和训练,得到检测检测模型并进行异常检测,达到进程行为异常检测的目的. 相似文献
4.
5.
目前的入侵检测系统往往利用系统调用序列来设计,而忽略了系统调用序列所运行的数据环境,因此无法应对那些不改变系统调用序列的新型攻击.提出了一种新的入侵检测模型,它结合系统调用序列及其运行的数据环境来进行检测,通过学习系统调用序列的数据取值规则,增强模型的检测能力.实验结果表明,与现有模型相比,该方法具有检测效率高、误警率低及训练阶段时空开销小的优点. 相似文献
6.
7.
基于核函数Fisher鉴别的异常入侵检测 总被引:1,自引:0,他引:1
将核函数方法引入入侵检测研究中,提出了一种基于核函数Fisher鉴别的异常入侵检测算法,用于监控进程的非正常行为。首先分析了核函数Fisher鉴别分类算法应用于入侵检测的可能性,然后具体描述了核函数Fisher鉴别算法在异构数据集下的推广,提出了基于核函数Fisher鉴别的异常入侵检测模型。并以Sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程。最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法。 相似文献
8.
论文提出了一个基于Windows系统调用序列检测的异常检测模型,并在原有的系统调用序列串算法的基础上引入了系统调用参数以及系统调用虚地址空间来对程序行为进行精确分析。 相似文献
9.
为解决工业网络安全防护中工艺数据异常检测误报率较高的问题,本文提出一种基于时间序列的异常检测方法.该方法对工艺数据进行相关性分析、向量映射等处理,再采用堆叠自编码神经网络(SAE)对工艺数据特征进行降维,根据工艺数据在传输序列间的相互关联性,设计基于长短期记忆神经网络(LSTM)的异常检测模型,最后进行工艺数据异常检测仿真实验验证分析.实验结果表明,基于时间序列的异常检测模型能有效提高工艺数据异常检测准确率,并且误报率要低于传统隐马尔可夫异常检测模型,同时获得较好的异常检测实时性. 相似文献
10.
基于系统调用的异常检测方法只能检测到攻击的发生,不能判断出攻击的性质和目的.针对这个问题,提出了一种算法(对系统调用序列和传统算法检测到的攻击进行再分析),基本思路是在训练时统计系统调用的频率信息,建立程序正常运行时的文件访问分布模型,并在系统调用的层次上提出一种攻击的分类方法,在检测时以传统的基于系统调用的异常检测方法为基础,结合训练时得到的信息,确定攻击所属的类别和攻击的优先级.实验结果表明,该方法能有效预测出攻击的性质和目的,并改善了原方法的检测率和误报率等指标. 相似文献
11.
入侵检测系统通过分析网络流量来学习正常和异常行为,并能够检测到未知的攻击。一个入侵检测系统的性能高度依赖于特征的设计,而针对不同入侵的特征设计则是一个很复杂的问题。因此,提出了一种基于深度学习检测僵尸网络的系统。该系统利用卷积神经网络(Convolutional Neural Network,CNN)和长短期记忆网络(Long Short-Term Memory,LSTM)分别学习网络流量的空间特征和时序特征,而特征学习的整个过程由深度神经网络自动完成,不依赖于人工设计特征。实验结果表明,该系统在僵尸网络检测方面具有良好的表现。 相似文献
12.
我们利用隐马尔可夫模型来描述特权进程正常运行时局部系统调用之间存在的规律性.具体方法是将UNIX特权程序的系统调用轨迹通过隐马尔可夫模型处理得到系统状态转移序列,再经滑窗后得到系统状态转移短序列.初步的实验证明这样得到的系统状态转移短序列比TIDE方法提出的系统调用短序列能更加简洁和稳定地表示系统的正常状态,采用这种状态短序列建立的正常轮廓库比较小,而且对训练数据的不完整性不太敏感.在同等的训练数据下,检测时本方法比TIDE方法的检测速度快,虚警率低. 相似文献
13.
当前海面目标检测方法多基于统计理论,检测性能受背景统计特性假设的影响,本文从信号预测和特征分类两个角度,分别采用长短时记忆网络(LSTM)和卷积神经网络(CNN)对信号时间序列幅度信息进行处理,用于海上目标一维序列雷达信号检测,该方法不需事先假设背景统计特性,泛化能力更强。基于LSTM序列预测的目标检测方法通过用海杂波信号幅度时间序列对网络进行训练,再用训练后的网络对后续序列进行预测,并与后续实测信号进行比较,实现目标检测。基于CNN序列分类的目标检测方法中采用截取的海杂波信号和目标信号幅度序列作为数据集样本,对一维卷积核CNN进行训练,使其具有识别目标杂波信号特征能力,从而实现目标检测。最后,采用IPIX和CSIR实测海杂波数据对两种方法进行验证,结果表明两种方法均可实现一维序列信号中海面目标的检测,但LSTM预测方法对于长序列检测的实时性有待于进一步提高;CNN分类方法可实现实时检测,但仅利用信号幅度信息,检测性能仍需进一步提升。 相似文献
14.
针对现有Android恶意代码检测方法容易被绕过的问题,提出了一种强对抗性的Android恶意代码检测方法.首先设计实现了动静态分析相结合的移动应用行为分析方法,该方法能够破除多种反分析技术的干扰,稳定可靠地提取移动应用的权限信息、防护信息和行为信息.然后,从上述信息中提取出能够抵御模拟攻击的能力特征和行为特征,并利用一个基于长短时记忆网络(Long Short-Term Memory,LSTM)的神经网络模型实现恶意代码检测.最后通过实验证明了本文所提出方法的可靠性和先进性. 相似文献
15.
为提高恶意域名检测准确率,该文提出一种基于卷积神经网络(CNN)与长短期记忆网络(LSTM)相结合的域名检测模型。该模型通过提取域名字符串中不同长度字符组合的序列特征进行恶意域名检测:首先,为避免N-Gram特征稀疏分布的问题,采用CNN提取域名字符串中字符组合特征并转化为维度固定的稠密向量;其次,为充分挖掘域名字符串上下文信息,采用LSTM提取字符组合前后关联的深层次序列特征,同时引入注意力机制为填充字符所处位置的输出特征分配较小权重,降低填充字符对特征提取的干扰,增强对长距离序列特征的提取能力;最后,将CNN提取局部特征与LSTM提取序列特征的优势相结合,获得不同长度字符组合的序列特征进行域名检测。实验表明:该模型较单一采用CNN或LSTM的模型具有更高的召回率和F1分数,尤其对matsnu和suppobox两类恶意域名的检测准确率较单一采用LSTM的模型提高了24.8%和3.77%。 相似文献
16.
Kamilya Smagulova Olga Krestinskaya Alex Pappachen James 《Analog Integrated Circuits and Signal Processing》2018,95(3):467-472
Long-short term memory (LSTM) is a cognitive architecture that aims to mimic the sequence temporal memory processes in human brain. The state and time-dependent based processing of events is essential to enable contextual processing in several applications such as natural language processing, speech recognition and machine translations. There are many different variants of LSTM and almost all of them are software based. The hardware implementation of LSTM remains as an open problem. In this work, we propose a hardware implementation of LSTM system using memristors. Memristor has proved to mimic behavior of a biological synapse and has promising properties such as smaller size and absence of current leakage among others, making it a suitable element for designing LSTM functions. Sigmoid and hyperbolic tangent functions hardware realization can be performed by using a CMOS-memristor threshold logic circuit. These ideas can be extended for a practical application of implementing sequence learning in real-time sensory processing data. 相似文献
17.
The time-varying nature of the wireless propagation channel under high user mobilities, termed as channel aging, is a major performance impediment in many communication systems. In this paper, we discuss deep learning models for semi-blind channel estimation in a single input single output wireless communication system under channel aging. In our proposed scheme, we first use pilot based training to obtain initial channel estimates. Following this, we treat the detected symbols as pilots and perform further channel estimation using an Encoder-Decoder LSTM network for constant and sliding window schemes. To show the effectiveness of our method, we show the training capabilities of our models and the BER vs SNR graphs for multiple simulations. We discuss integrating these Encoder-Decoder LSTM models with deep learning enabled symbol detection techniques like the DetNet to further improve spectral efficiency. The Encoder-Decoder LSTM network gives us a low BER, with the moving window scheme outperforming the constant window scheme.
相似文献