进程异常检测中淋巴细胞的逻辑语义模型

论文针时反向选择算法无法有效地捕捉某些复杂问题空间的语义信息的缺点,以逻辑程序设计领域中的稳定模型为理论基础,提出一个淋巴细胞的逻辑语义模型。该模型采用逻辑程序表示淋巴细胞和抗原,通过计算它们的稳定模型来进行异常检测。最后,以进程异常检测为背景,设计了一个系统框架。该框架充分考虑了进程系统调用短序列的语义信息。能有效地提高异常检测的准确率。     

淋巴细胞的时间语义逻辑模型及其演化策略

数字序列抗原内部存在许多语义特征，针对抗原进行语义识别可以提高系统检测的准确性。基于抗原的相对时序关系，该文采用了一阶逻辑作为抗原和淋巴细胞的基本描述语言，以扩展逻辑程序构造淋巴细胞的时间语义逻辑模型，给出了淋巴细胞的逻辑表示形式。基于逻辑程序的稳定模型语义学，用稳定模型语义计算作为新的淋巴细胞的匹配算法。借鉴遗传归纳逻辑程序GILP的基本思想，给出了新的淋巴细胞的演化算法。     

源程序语义检测的稳定模型分析方法

基于逻辑程序及其稳定模型的理论，提出一种源程序语义检测的稳定模型分析方法。该方法从源程序中提取关键语句图，将安全知识规则转换为一个逻辑程序，再用关键语句图去实例化该逻辑程序，最后求解其稳定模型得到源程序的安全性评价。该方法体现了源程序丰富的语义，具有较好的可扩展性。     

基于系统调用分类的异常检测

提出了一种新的基于规则的异常检测模型.把系统调用按照功能和危险程度进行了分类,该模型只是针对每类中关键调用(即危险级别为1的系统调用).在学习过程中,动态地处理每个关键调用,而不是对静态的数据进行数据挖掘或统计,从而可以实现增量学习.同时通过预定义,精炼规则,有效地减少了规则数据库中的规则数目,缩减了检测过程中规则的匹配时间.实验结果清楚地表明,检测模型可以有效侦测出R2L,R2R和L2R型攻击,而且检测出的异常行为将被限制在相应的请求内而不是整个系统调用迹.检测模型适合于针对特权进程(特别是基于请求--反应型的特权进程)的异常入侵检测.     

基于稳定模型的软件多样性与安全初探

该文简要阐述了软件多样性与安全性的关系后,基于STABLEMODEL是逻辑程序的语义模型的观点,从软件与逻辑程序设计的关联出发,提出了用逻辑程序设计实现软件多样性的方法。论文首先介绍了逻辑程序中稳定模型的形成、定义、演算方法,通过逻辑程序与稳定模型之间存在的多对一的映射关系,产生软件的多样性。最后,通过具体的分析,提出了基于稳定模型的程序多样性演化方法,这一方法实现了从一个源程序到一系列等价程序的多样性演化,从而提高了系统的鲁棒性和安全性。     

基于逻辑程序的安全协议验证

安全协议本质上是分布式并发程序，可以自然地描述为多个子进程的并发合成系统．将安全协议对应的并发合成系统抽象为逻辑程序进行消解，能够对安全协议无穷多个会话的交叠运行进行验证．该文提出了安全协议逻辑程序中逻辑规则的一个分类方法，基于该分类方法提出了安全协议逻辑程序不动点的迭代计算方法．逻辑规则的分类优化了安全协议逻辑程序不动点的迭代计算和安全性质验证过程中的计算．由于安全协议逻辑程序不动点迭代计算过程不一定终止，文中提出了每进行k≥1步安全协议逻辑程序不动点迭代计算验证一次安全性质的验证策略．     

逻辑程序的语义问题(Ⅰ)

说明性语义是逻辑程序研究的重要内容,也是其作为说明性程序的基本特征。近年来由于人们对带否定前提的一般逻辑程序设计的关注,以及逻辑程序与非单调推理的结合,逻辑程序的语义研究出现了许多新结果。本文以早期的Clark语义和最小模型语义为起点,介绍这些新发展的部分内容,主要包括Clark语义的Fitting 3-值扩充,理想模型语义、稳定模型语义、良基模型语义以及它们之间的关系,并在此基研上进一步讨论了说明性语义在逻辑程序设计中的地位和作用。     

基于粗糙集值约简改进算法的进程异常检测

提出一种新的基于粗糙集值约简和系统调用的进程异常检测方法。为了提高约简效率,改进了基于差别矩阵的粗糙集值约简算法。另外创建了一种新的检测模型,能在判断进程是否异常的基础上进一步识别异常种类。它以系统调用短序列中k个位置作为条件属性集,以进程类型作为决策属性,建立决策表;然后使用改进的值约简算法提取规则集,并对规则匹配的结果作统计;最后判断进程类别。实验表明该方法能高效准确地识别异常进程的种类。     

逻辑程序的语义问题 I

文明性语义是逻辑程序研究的重要内容，也是其作为说明性程序的基本特征。近年来由于人们对带否定前提了一般逻辑程序设计的关注，以及逻辑程序与非单调推理的结合，逻辑程序的语义研究出现了许多新结果。本文以早期的Ｃｌａｒｋ语义和最小模型语义为起点，介绍这些新发展的部分内容，主要包括Ｃｌａｒｋ语义的Ｆｉｔｔｉｎｇ３－值扩充，理想模型语义，稳定模型语义，良基模型语义以及它们之间的关系，并在此基础上进一步讨论了说明     

逻辑语言中启发式控制

本文论述从逻辑程序本身提取启发式控制信息,以克服由于逻辑语言系统中控制策略的机械性所带来的不完备性和低效性。具体地给出若干启发式控制规则,并证明了这些规则的正确性。运用这些控制规则可以大大地提高系统的运行效率或改善逻辑程序的语义性质。文章最后给出启发式WAM(记作HWAM),并且用实例说明HWAM比WAM更有效,更完善。     

系统调用序列分类的Motif方法及其在异常诊断中的应用

系统调用序列分析应用于异常诊断时大都提取定长或变长的子序列作为系统行为的特征,没有考虑系统调用的语义,而某些系统调用的语义是与进程的功能相关的.本文利用特殊系统调用的语义,从系统调用序列中提取motif-同类序列中经常出现的并与一定功能相关的子序列作为特征,并用这些motif建立分类器对序列进行自动分类.将此方法应用到PC机的入侵检测和系统故障诊断,结果表明,以motif为特征对序列进行分类,不仅可以提高识别率,降低误警报率,而且可以明显降低特征空间的维数.     

基于粗糙集理论的入侵检测新方法

提出了一种高效低负荷的异常检测方法，用于监控进程的非正常行为，该方法借助于粗糙集理论从进程正常运行情况下产生的系统调用序列中提取出一个简单的预测规则模型，能有效地检测了进程的异常运行状态，同其它方法相比，用粗糙集建立正常模型要求的训练数据获取简单，而且得到的模型更适用于在线检测，实验结果表明，该方法的检测效果优于同类的其它方法。     

A rough set theory based method for anomaly intrusion detection in computer network systems

Abstract: Intrusion detection is important in the defense‐in‐depth network security framework. This paper presents an effective method for anomaly intrusion detection with low overhead and high efficiency. The method is based on rough set theory to extract a set of detection rules with a minimal size as the normal behavior model from the system call sequences generated during the normal execution of a process. It is capable of detecting the abnormal operating status of a process and thus reporting a possible intrusion. Compared with other methods, the method requires a smaller size of training data set and less effort to collect training data and is more suitable for real‐time detection. Empirical results show that the method is promising in terms of detection accuracy, required training data set and efficiency.     

基于系统调用的异常入侵检测

监视程序行为是近年基于主机的异常入侵检测的研究热点，构建程序行为模型是进行异常检测的关键。该文根据构建程序行为模型时，从系统调用抽取的信息和异常检测中使用的系统调用序列的粒度以及异常检测器记录的信息，分析和比较了基于程序行为的异常检测技术，并对该项研究作了展望。     

基于系统调用和数据挖掘的程序行为异常检测

异常检测是目前入侵检测研究的主要方向之一。该文提出一种新的程序行为异常检测方法,主要用于Linux或Unix平台上以系统调用为审计数据的入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度和可信度在训练数据中提取正常模式。在检测阶段,通过序列模式匹配对被监测程序的行为异常程度进行分析,提供两种可选的判决方案。实验结果表明,该方法具有良好的检测性能。     

可重构安全系统建模与配置生成方法研究

以安全重构元为基础,能够提供高灵活性、适应性和可扩展性安全服务的可重构安全计算系统已成为当前安全研究领域的热点问题.目前,关于重构机理的研究主要采取基于功能候选集的静态重构配置生成方法,可重构安全系统作为一种主动安全防御手段,应具有动态自动重构的能力,避免人工介入导致的脆弱性.针对动态自动可重构安全系统的建模以及配置生成过程的描述问题,提出了一种基于直觉主义逻辑扩展的动态自动可重构安全系统逻辑模型SSPE,给出了逻辑模型SSPE上的语法和推理规则,设计了基于SSPE的等级化安全重构元和安全需求建模和表达方法,并给出了基于映射关系的安全重构元描述向逻辑语言的转换规则.最后,以IPSec协议为例,阐述了可重构安全系统重构配置的动态自动推理生成过程.基于直觉主义逻辑的可重构安全系统建模和配置生成方法,为研究可重构安全系统的重构机理提供了新的思路和方法,具有重要的意义.     

基于粗糙集约简的进程系统调用序列异常检测方法研究

提出了一种基于粗糙集约简的系统调用序列异常检测方法，其基本思想是利用粗糙集约简来对第k个系统调用位置进行预测，把前k-1个位置视为条件属性集，第k个位置视为决策属性，通过Rough集约简方法得到一组预测第k个系统调用位置的最小规则集，进而可用于对实际进程的异常检测。基于合成的UNM sendmail系统调用数据的实验结果表明，本文所提出的异常检测算法性能好于Forrest等人的tide方法，与Wenke Lee等人的数据挖掘算法检测精度相当。但在选择较大的阈值时，漏报率更低。