Linux用户行为记录器的一种内核级实现方法

用户登录后敲击键盘的行为记录是判断用户是否有恶意行为以及安全审计的重要信息来源。基于Linux,通过使用内核函数劫持技术劫持并修改键盘输入的相关内核函数．同时利用可装载内核模块技术将修改后的内核函数作为可装载模块插入内核,实现了一个内核级的行为记录器。这种实现方法可以记录本地用户以及远程用户所有敲击键盘的行为,包括ctrl,alt,shift等特殊键码．利用键盘映射码表转换成标准的ASCII码格式输出到日志文件中。     

如何书写基于内核的linux键盘记录器？

本分成两个部分。第一部分结出了linux键盘驱动的工作原理，并且讨论了建立一个基于内核的键盘纪录器的方法。这部分内容对那些想写一个基于内核的键盘纪录器，或写一个自己键盘驱动的朋友会有帮助。第二部分详细描述了vlogger的每个细节．vlogger是一个强大的基于内核的linux键盘纪录器．以及如何来使用它。这项技术司以运用在蜜罐系统中，也司以做成一些很有意思的hacker game．主要用来分析和采集hacker的攻击手法。我们都知道，一些大家熟知的键盘纪录器．如iob、uberkeylogger等，它们是基于用户层的。这里介绍的是基于内核层的键盘纪录器。     

Linux系统调用劫持:技术原理、应用及检测

系统调用劫持是黑客入侵系统后保留后门常用的一项技术。文章提出了利用可装入内核模块修改系统调用表和中断描述符表两种实现Linux系统调用劫持的方法,探讨了系统调用劫持技术在rootkit、入侵检测等方面的应用,并给出了利用kmem进行系统调用劫持检测的一般方法。该文的分析基于Intelx86平台上的2.4内核。     

键盘输入安全研究

键盘记录器是网络用户面临的主要安全威胁之一.以保障敏感信息的安全输入为出发点,分析了按键信息传输流程,系统总结了键盘输入信息所面临的来自物理层、内核层、应用层的截获、查询、旁路等类型的安全威胁以及现有研究和应用的相应防御措施;介绍了软键盘所面临的偷窥、消息截获、截屏等威胁及其防御措施,提出鼠标记录攻击、控件分析攻击等新的威胁以及相应的对策;然后对现有研究和应用的敏感信息输入进行了安全性测试;最后介绍了现有研究中基于行为的键盘记录器检测方法.     

基于Linux内核的进程检查点系统设计与实现

作为一种流行的软件容错机制,检查点与恢复技术的实现模式有两种:用户级和系统级.首先阐述了两者的区别,然后根据Linux可加栽内核模块机制提出了一种基于Linux内核的进程检查点与恢复实现方法.利用Linux内核线程实现了检查点与恢复内核模块,并基于此内核模块在用户层构造了一检查点函数库,为用户提供了相应接口.用户通过组合使用这些接口可以高效地实现具体检查点与恢复算法.     

基于嵌入式Linux的内核错误跟踪技术

介绍了一种精简的内核崩溃信息记录技术,该技术保存函数调用链并有选择地记录函数栈内容。记录下的内容可有效地分析定位问题,精简的记录存储可满足复位后快速重启的要求。     

Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害.对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案.实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义.     

利用LKM记录键盘事件的研究与实现

Linux作为自由软件,提供了更多的灵活性和开放性。利用这一优点,我们可以增强Linux系统的安全性。本文首先介绍了 LKM　(Loadable　Kernel　Modules,可加载内核模块)的概念及其原理,然后详细阐述了 Linux下键盘驱动程序的工作原理,最后实现了LKM,来记录本地用户和远程登录到本系统的用户敲击键盘行为,为系统安全提供了一项重要的日志来源。     

一种基于进程执行行为分析的图形界面交互系统性能评测方法

传统的系统性能评测方法使用吞吐率等整体性参数作为评测手段.这类参数对于用户输入时间不确定的图形界面交互式应用程序并不适用.图形界面交互系统的评价应更侧重于考虑用户的主观感受.在多用户共享服务资源的图形界面系统中,单个用户可占用的资源受限,用户请求的处理时间可能会被延长.此时程序的"实际执行时间",即整体执行时间与等待用户响应时间之差,才能够真实地反映用户可察觉的系统处理能力.但如何提取"实际执行时间"是一个问题.文中提出了一种新的基于内核profiling的进程执行行为特征分析的图形界面交互系统性能评测方法,并给出了一种区间最大相关比对算法,能够从整体执行时间中准确地提取实际执行时间.为了能够在引入时空开销小的前提下获取进程执行行为,文中还设计实现了内核trace记录工具Pro.对Impress等4个图形界面交互程序在系统内存大小不同时的性能行为进行记录和分析评测,实验结果显示了该方法的准确性和有效性.     

Kylin安全审计子系统的研究和实现

研究操作系统的安全防护技术,预测分析操作系统的安全行为,是操作系统安全的重要内容。预测行为是通过分析系统的审计数据完成的,必须要求安全操作系统具备记录用户行为的功能。然而,在很多情况下,恶意用户攻破了操作系统,意味着拥有系统管理员的权限,它可以破坏审计数据,改变系统审计行为,以达到隐藏自己恶意行为的目的。因此,Kylin操作系统研究并实现三权分立的管理员管理模型,该模型要求审计数据的产生和存储不受除审计管理员之外的任何用户控制。本文研究并设计了内核线程完成审计功能的软件结构,避免了以往通过内核审计模块和审计进程实现的审计系统的脆弱性,保证了审计管理的独立。     

普适性核度量标准比较研究

核方法是一类应用较为广泛的机器学习算法,已被应用于分类、聚类、回归和特征选择等方面.核函数的选择与参数优化一直是影响核方法效果的核心问题,从而推动了核度量标准,特别是普适性核度量标准的研究.对应用最为广泛的5种普适性核度量标准进行了分析与比较研究,包括KTA,EKTA,CKTA,FSM和KCSM.发现上述5种普适性度量标准的度量内容为特征空间中线性假设的平均间隔,与支持向量机最大化最小间隔的优化标准存在偏差.然后,使用模拟数据分析了上述标准的类别分布敏感性、线性平移敏感性、异方差数据敏感性,发现上述标准仅是核度量的充分非必要条件,好的核函数可能获得较低的度量值.最后,在9个UCI数据集和20Newsgroups数据集上比较了上述标准的度量效果,发现CKTA是度量效果最好的普适性核度量标准.     

内核脱钩技术在检测rootkit木马信息隐藏中的应用

简要讨论了Windows内核系统服务调用机制,分析了基于rootkit技术的木马通过内核态挂钩SystemServiceDispatch-Table隐藏各种敏感信息的一般原理.在检测SystemServiceDispatchTable挂钩隐藏注册表键值的基础上,提出两种内核检测脱钩方法,实现了对rootkit挂钩的有效检测与脱钩,确保了系统荻取注册表等敏感信息的完整性.     

一种新的混合核函数支持向量机

针对单核函数支持向量机性能的局限性问题,提出将sigmoid核函数与高斯核函数组成一种新的混合核函数支持向量机.高斯核是典型的局部核;sigmoid核在神经网络中被证明具有良好的全局分类性能.新混合核函数结合二者的优点,其支持向量机的分类性能优于由单核函数构成的支持向量机,实验结果表明该方法的有效性.     

A set of new Chebyshev kernel functions for support vector machine pattern classification

In this study, we introduce a set of new kernel functions derived from the generalized Chebyshev polynomials. The proposed generalized Chebyshev polynomials allow us to derive different kernel functions. By using these polynomial functions, we generalize recently introduced Chebyshev kernel function for vector inputs and, as a result, we obtain a robust set of kernel functions for Support Vector Machine (SVM) classification. Thus in this study, besides clarifying how to apply the Chebyshev kernel functions on vector inputs, we also increase the generalization capability of the previously proposed Chebyshev kernels and show how to derive new kernel functions by using the generalized Chebyshev polynomials. The proposed set of kernel functions provides competitive performance when compared to all other common kernel functions on average for the simulation datasets. The results indicate that they can be used as a good alternative to other common kernel functions for SVM classification in order to obtain better accuracy. Moreover, test results show that the generalized Chebyshev kernel approaches to the minimum support vector number for classification in general.     

多核模糊聚类

针对单核聚类的性能局限性问题,提出将高斯核、Sigmoid核以及多项式核等多种核组成一种新的多核函数,并利用于模糊核进行聚类。高斯核在聚类中有广泛应用,同时Sigmoid核在神经网络中被证明具有很好的全局分类性能。将不同的核函数组合起来的多核函数将结合各种核函数的优点,其聚类性能优于利用单核的模糊核聚类（KFCM）,实验结果表明了该方法的有效性。     

基于随机傅里叶特征空间的高斯核近似模型选择算法

核方法是一种把低维空间的线性不可分问题转化为高维空间中线性可分问题的方法,其广泛应用于多种学习模型。然而现有的核模型选择方法在大规模数据中计算效率较低,时间成本很大。针对这一问题,本文引入随机傅里叶特征变换,将原始核特征空间转换为另一个相对低维的显式随机特征空间,并给出核近似误差上界理论分析以及在核近似的随机特征空间中训练学习模型的误差上界,得到核近似的收敛一致性和误差上界与核近似参数之间的关系。基于随机傅里叶特征空间选择出最优模型参数,避免了对最优原始高斯核模型参数的大规模搜索,从而大幅降低原始高斯核模型选择所需的时间成本。实验表明,本文给出的误差上界确由核近似参数控制,核近似选择的最优模型相较于原始高斯核模型有较高的准确率,并且模型选择时间相对网格搜索法大幅减小。     

基于多核融合的中文领域实体关系抽取

针对传统径向基核函数的训练矩阵中所有元素都十分接近零而不利于分类的问题,该文提出了一种融合了改进的径向基核函数及其他核函数的多核融合中文领域实体关系抽取方法。利用径向基核函数的数学特性,提出一种改进的训练矩阵,使训练矩阵中的向量离散化,并以此改进的径向基核函数融合多项式核函数及卷积树核函数,通过枚举的方式寻找最优的复合核函数参数,并以上述多核融合方法与支持向量机结合进行中文领域实体关系抽取。在旅游领域的语料上测试,相对于单一核方法及传统多核融合方法,关系抽取性能得到提高。     

基于连通核的鲁棒模糊C-均值聚类算法

提出一种新的鲁棒核模糊C-均值聚类算法.将连通核与AFCM(Alternative fuzzy C-means)聚类算法相结合,给出基于连通核的核AFCM:CRKFCM(Connectivity kernel based robust fuzzy C-means).CRKFCM一方面有效地利用了连通核,可以对任意形状数据聚类,且避免了核参数的选取问题;另一方面在特征空间使用非欧氏距离,可以有效地处理含噪声数据的聚类问题.实验结果表明,与原有的AFCM和连通核硬C-均值(CKHCM,Connectivity kernel based hard C-means)聚类算法相比,新算法在处理噪声环境中的任意形状聚类问题方面更有效.     

Intra-sentence segmentation based on support vector machines in English–Korean machine translation systems

This work is about intra-sentence segmentation performed before syntactic analysis of long sentences composed of at least 20 words in an English–Korean machine translation system. A long sentence has been known to spend enormous computational time and space when it is analyzed syntactically. It can also produce poor translation results. To resolve this problem, we partitioned a long sentence into a few segments to analyze each segment separately. To partition the sentence, firstly, we tried to find candidates for each segment position in the sentence. We then generated input vectors representing lexical contexts of the corresponding candidates and also used the support vector machines (SVM) algorithm to learn and recognize the appropriate segment positions. We used three kernel functions, the linear kernel, the polynomial kernel and the Gaussian kernel, to find optimal hyperplanes classifying proper positions and we compared results obtained from each kernel function. As a result of the experiments, we acquired 0.81, 0.83, and 0.79 f-measure values from the linear, polynomial and Gaussian kernel, respectively.     

基于欧式距离的一种新的核函数

支持向量机表现的好坏很大程度上取决于核函数的选取,因此最近几年关于核函数的研究有许多。越来越多的核函数也被提了出来!但是选取合适的核函数往往却不容易,因为数据的特征往往不知道。文中利用函数的Taylor展开思想,提出了一种新的核函数,叫T—KMOD,基于KMOD提出的。该核函数的灵活性更好,可以处理很多分类的问题。用网络入侵的数据对该核函数进行了仿真,从仿真的结果可以看出,和一些常用的核函数相比,它的鲁棒性更好,有更强的分类能力。同时该函数的分类效果更好。所以该核函数和一般常用的核函数相比,可能更具有一般选择性。