基于系统调用与进程堆栈信息的入侵检测方法

提出一种利用动态提取进程堆栈中的信息来寻找不定长模式的方法。该方法以进程中产生系统调用的函数返回地址链作为提取不定长模式的依据，根据函数的结构关系对模式集进行精简，得到一组不定长模式集。在此基础上，以不定长模式作为基本单位构建了一个马尔可夫链模型来检测异常行为。实验结果表明，该方法的检测性能要优于传统的不定长模式方法和一阶马尔可夫链模型方法，能够获得更高的检测率和更低的误报率。     

大规模MIMO系统的改进MCMC检测算法

大规模MIMO(多输入多输出)技术通过配置大规模天线阵列提高系统的频谱和能量效率,接收算法的复杂度是其实现的瓶颈。MCMC(马尔可夫链蒙特卡罗)检测方法可以较低复杂度获得接近理论最优的性能。提出一种改进的MCMC算法,将超松弛迭代方法应用于MCMC检测,引入松弛因子加快马尔可夫链收敛速度,降低检测复杂度。仿真结果表明,该算法能改善系统的误码率(BER)性能,解决传统MCMC算法在高信噪比条件下的"陷入"问题,同时降低运算复杂度。     

一种基于域的无线Ad HOC网络入侵检测系统

无线Ad Hoc网络因其高度动态的拓扑、无线链路、无固定基础设施的支持等一些特性使得它与其他网络相比是非常脆弱的。现有针对有线网络开发的IDS很难适用于这种网络。提出一种称为ZBIDS(Zone-Based Intrusion Detection System)的入侵检测系统,该系统采用两级层次化结构,属于分布式IDS。ZBIDS系统通过基于马尔可夫链的分类器来检测具有序列化特征的入侵。仿真结果表明,基于马尔可夫链的分类器具有较好的入侵检测性能。     

基于时序马尔可夫链的分布式频谱检测

针对无线传感网络中的合作谱检测问题,提出一种基于时序马尔可夫链的分布式频谱检测算法。假定单节点对频谱的感知是一个马尔可夫过程,本地序列检测采用序列概率比测试进行频谱探测,得到本地序列检测值。各个感知节点将检测结果发送到数据融合中心,根据设定门限确定最终检测结果。通过Matlab仿真验证了该算法的时序检测性能。     

基于隐式马尔可夫链的基因发现模型和算法

探讨了隐式马尔可夫链在基因发现中的应用。提出了一个基于GHMM(泛化的隐式马尔可夫链)的基因发现系统的简化的模型，论述了用该模型和扩展的Viterbi算法发现基因的方法，介绍了用于描述编码区和非编码区及信号的模型和实现。     

基于隐马尔可夫模型的网络入侵检测方法

介绍了基于隐马尔可夫模型的网络入侵检测系统的检测方法,并且建立了两个隐马尔可夫模型,通过对数据包的分析,得出系统的检测结果.实验数据表明,该方法能有效地提高异常检测效率,对入侵检测具有重要价值.     

基于小波隐马尔科夫模型的控制过程异常数据检测方法

针对小波异常信号检测原理的局限性,提出了适用于过程数据的基于小波隐马尔可夫模型（W-HMM）的异常数据检测方法．首先在一定尺度下对检测信号进行分解,将频率组分不同于其他大部分信号的信号作为异常信号;然后通过计算待检测信号的小波系数与正常信号小波系数的相似概率,并利用求取隐马尔可夫模型（HMM）最优状态链的Viterbi算法对数据进行最终判断;最后通过数值验证和应用表明了所提出的检测算法的有效性和实用性．     

基于系统调用序列的转移概率方法在入侵检测中的应用

Stephaine Forrest等提出进程行为可由系统调用短序列表征。本文介绍了马尔可夫链的状态转移概率原理,基于转移概率给出了系统调用与进程正常行为的相关性度量,以此来检测进程异常行为。试验结果表明,此方法可行。     

股票投资中寻求马尔可夫最优决策的程序设计

本文利用（１）中的马尔可夫链，用ＦＯＲＴＲＡＮ语言设计了股票价格上扬，下跌平均时间的计算程序，利用马尔可夫决策，实现了股票买进卖出最佳策略的实用程序。     

基于模糊滑窗隐马尔可夫模型的入侵检测研究

针对传统基于隐马尔可夫模型（HMM）入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于模糊窗口隐马尔可夫模型（FWHMM）的入侵检测新方法。该方法通过运用状态转移依赖滑窗的设置提高了系统的检测精度，通过将状态的随机转移转变为模糊随机转移，提高了系统的鲁棒性和自适应性。实验结果表明,使用本文方法的检测效果要明显优于基于经典HMM的方法。     

计算机系统入侵检测的隐马尔可夫模型

入侵检测技术作为计算机安全技术的一个重要组成部分，现在受到越来越广泛的关注，首先建立了一个计算机系统运行状况的隐马尔可夫模型（HMM），然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法，以及该模型的训练算法。这个算法的优点是准确率高，算法简单，占用的存储空间很小，适合用于在计算机系统上进行实时检测。     

一个两层马尔可夫链异常入侵检测模型

在现有的单层马尔科夫链异常检测模型基础上,提出一种崭新的两层模型.将性质上有较大差异的两个过程,不同的请求和同一请求内的系统调用序列,分为两层,分别用不同的马尔可夫链来处理.两层结构可以更准确地刻画被保护服务进程的动态行为,因而能较大地提高异常的识别率,降低误警报率.而且异常检测出的异常将被限制在相应的异常真正发生的请求区内.检测模型适合于针对特权进程(特别是基于请求?反应型的特权进程)的异常入侵检测.     

基于隐马尔科夫模型的用户行为异常检测方法

提出了一种基于HMM的用户行为异常检测的新方法,用shell命令序列作为审计数据,但在数据预处理、用户行为轮廓的表示方面与现有方法不同。仿真实验结果表明,本方法的检测效率和实时性相对较高,在检测准确率方面也有较大优势。     

基于线性预测与马尔可夫模型的入侵检测技术研究

入侵检测技术是现代计算机系统安全技术中的重要组成部分．该文提出了基于线性预测与马尔可夫模型相结合的入侵检测方法．首先提取特权进程的行为特征,引入时间序列分析技术——用线性预测技术对特权进程产生的系统调用序列提取特征向量来建立正常特征库,并在此基础上建立了马尔可夫模型．由马尔可夫模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况．然后,利用马尔可夫信源熵与条件熵进行参数选取,对模型进行优化,进一步提高了检测率．实验表明该算法准确率高、实时性强、占用系统资源少．     

基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

基于马尔科夫链的主机异常检测方法研究

提出了基于马尔科夫链模型的主机异常检测方法,首先提取特权进程的行为特征,并在此基础上构造Markov模型。由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况。利用Markov模型的构造充分提取特权进程的局部行为特征的相互关系。实验表明该模型算法简单、实时性强、检测率高、误报率低、适合用于在线检测。     

基于Shell命令和DTMC模型的用户行为异常检测新方法

提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本。在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法。     

基于系统调用的混合HMM/MLP异常检测模型

首先描述了基于隐马尔可夫模型(HMM)的异常检测方法并指出其缺点．然后提出了一种将多层感知机(MLP)用作HMM的概率估计器的方法,以克服HMM方法的不足．最后建立了一个基于系统调用的混合HMM/MLP异常检测模型,并给出了该模型的训练和检测算法．实验结果表明,该混合系统的漏报率和误报率都低于HMM方法．     

一种无线自组网的跨层异常入侵检测模型

提出一种Ad Hoc网络的跨层异常入侵检测模型.在MAC层、路由层和应用层分别运用朴素贝叶斯分类算法、Markov链构建算法和关联规则挖掘算法.本地汇总模块汇总本地三层子系统的检测结果,并加权平均后输出;全局汇总模块汇总邻节点检测结果并加权计算最终结果送响应模块.对模型和算法进行多种典型攻击测试实验,结果表明模型具有较高的检测率,并能有效降低误警率.