基于系统调用属性的程序行为监控

程序的行为轨迹常采用基于系统调用的程序行为自动机来表示.针对传统的程序行为自动机中控制流和数据流描述的程序行为轨迹准确性较低、获取系统调用上下文时间开销大、无法监控程序运行时相邻系统调用间的程序执行轨迹等问题,提出了基于系统调用属性的程序行为自动机.引入了多个系统调用属性,综合系统调用各属性的偏离程度,对系统调用序列描述的程序行为轨迹进行更准确地监控;提出了基于上下文的系统调用参数策略,检测针对系统调用控制流及数据流的行为轨迹偏离;提出了系统调用时间间距属性,使得通过系统调用及其参数无法监控的相邻系统调用间的程序行为轨迹在一定程度上得到了监控.实验表明基于系统调用属性的程序行为自动机能够更准确地刻画程序行为轨迹,较传统模型有更强的行为偏离检测能力.     

基于非线性SVM模型的木马检测方法

针对传统木马检测方法误检率和漏检率较高的问题,提出基于非线性支持向量机(SVM)模型的木马检测方法.根据被检测程序在系统中的系统调用函数建立系统调用序列,并转换成SVM可识别的标记放入数据仓库,以供向量机提取作为特征向量.通过建立SVM分类器对被检测程序行为进行分类,从而确定被检测程序行为的异常情况,判断其足否为木马....     

基于程序的异常检测研究综述

以程序正常行为描述方法为线索,将利用系统调用数据检测程序异常行为的各种技术分类为基于规范的方法、基于频率的方法、控制流分析方法、数据流分析方法。详细介绍了这些方法的基本思想、使用的各种模型以及最新研究进展,指出并分析了现有技术中存在的问题和不足,正式提出了基于程序的异常检测技术应该以各种服务器程序为研究对象的观点,介绍了一个经过初步实验验证了的、基于服务器程序运行踪迹层次结构的异常检测原型系统,该原型系统利用了服务器程序请求一应答式工作特征和一些关键系统调用的语义信息以及运行时的动态信息,通过结构模式识别技术在识别服务器程序正常行为过程中发现异常并具备分析异常、提供入侵相关详细信息的能力,而这种能力正是异常检测技术进一步研究发展的方向之一。     

支撑向量机在异常检测中的应用

提出一种基于支撑向量机的入侵检测的方法。以主机系统调用的频度来刻画程序行为．利用支撑向量机根据这些系统调用的频率对进程进行分类，从而检测入侵活动。实验结果表明该方法能有效的检测入侵活动，又能取得较低的虚警率。     

单分类算法中的数据可视化技术

通过对可视化技术的分析,设计了单类分类器的可视化方法,将单分类异常检测算法过程在二维空间表述出来。通过对国际标准数据集进行试验,可视化过程显示了分类算法的核参数对分类面的影响。将单类分类器的可视化方法应用于主机系统调用序列的异常检测中,可以将入侵检测过程呈现给用户,能够有效地发现入侵行为,有助于更好地理解单类分类器在对用户的系统调用执行序列分析的效果。     

基于系统调用的异常入侵检测

监视程序行为是近年基于主机的异常入侵检测的研究热点，构建程序行为模型是进行异常检测的关键。该文根据构建程序行为模型时，从系统调用抽取的信息和异常检测中使用的系统调用序列的粒度以及异常检测器记录的信息，分析和比较了基于程序行为的异常检测技术，并对该项研究作了展望。     

基于可执行文件静态分析的入侵检测模型

基于进程行为的入侵检测技术是主机防范入侵和检测恶意代码的重要技术手段之一．该文提出了一种基于可执行文件静态分析的入侵检测模型，该模型通过对应用程序可执行文件的静态分析，建立应用程序所有可能执行的定长系统调用集合，通过实时监控进程执行的系统调用序列是否在该集合中实施检测．该模型不需要源文件、大规模训练数据，通用性和易用性好；在应用程序可执行文件完整的情况下，误报率为0，抵抗模仿攻击的能力更强，漏报率更低．     

基于模糊小波神经网络的主机入侵预测

综合利用模糊技术、神经网络与小波技术,提出一种主机入侵预测模型FWNN-IP。将系统调用按危险度进行分类,并为高危险度的系统调用赋予较高的值,利用模糊化后的系统调用短序列分析程序(进程)的踪迹,达到入侵预测的目的。实验结果表明,FWNN-IP模型能够及时预测程序(进程)中的异常,采取更加积极主动的预防措施抵制入侵行为。     

基于有效窗口和朴素贝叶斯的恶意代码分类

恶意代码分类是恶意代码分析和入侵检测领域中的核心问题.现有分类方法分析效率低,准确性差,主要原因在于行为分析原始资料规模大,噪声高,随机因素干扰.针对上述问题,以恶意代码行为序列报告作为基础,在分析随机因素及行为噪声对恶意代码行为特征和操作相似性的干扰之后,给出一个系统调用参数有效窗口模型,通过该模型加强行为序列的相似度描述能力,降低随机因素的干扰.在此基础上提出一种基于朴素贝叶斯机器学习模型和操作相似度窗口的恶意代码自动分类方法.设计并实现了一个自动恶意代码行为分类器原型MalwareFilter.使用真实恶意代码生成的行为序列报告对原型系统进行评估,通过实验证明了该方法的有效性,结果表明,该方法通过操作相似度窗口提高了训练和分类过程的性能和准确度.     

一种基于数据流依赖关系的可信恢复方法

提出了一种基于进程间数据流依赖关系的可信恢复方法,通过对进程系统调用的实时监控发现系统异常行为,并评估系统受到的破坏,进行系统恢复。基于该方法,实现了一个原型系统DFDTR。与传统恢复方法相比,它在恢复系统的同时保留了系统的合法操作,提高了恢复的精度和效率。实验表明,本恢复功能增加系统约10%的CPU负载,所耗费的存储开销也是合理的。     

Prototype-based classification

Image-based diagnostic tools are important tools for the determination of diseases in many medical applications. The interpretation of these images is often done manually, based on prototypical images. Consequently, only a few images collected into an image catalogue are initially available as a basis for the development of an automatic image-interpretation system. In this paper we study the question if it is possible to build up an image-interpretation system based on such an image catalogue. We call the system catalogue-based image classifier. The system is provided with feature-subset selection, feature weighting, and prototype selection. The performance of the catalogue-based classifier is assessed by studying the accuracy and the reduction of the prototypes after applying a prototype-selection algorithm. We describe the results that could be achieved and give an outlook for further developments on a catalogue-based classifier.     

基于TPM的运行时软件可信证据收集机制

扩展了已有的软件可信性证据模型,引入了运行时软件可信证据,从而提供了更为全面的软件可信证据模型.为了提供客观、真实、全面的可信证据,提出了一种基于可信计算技术的软件运行时可信证据收集机制.利用可信平台模块(trusted platform module,简称TPM)提供的安全功能,结合“最新加载技术(late launch)”,在操作系统层引入了一个可信证据收集代理.此代理利用TPM,可以客观地收集目标应用程序的运行时可作为软件可信证据的信息,并保障可信证据本身的可信性.该可信证据收集机制具有良好的可扩展性,能够支持面向不同应用的信任评估模型.基于Linux Security Module,在Linux中实现了一个可信证据收集代理的原型.基于该原型,分析了一个分布式计算客户端实例的相关可信属性,并且分析了可信证据收集代理在该应用实例中的性能开销.该应用实例验证了该方案的可行性.     

基于进程轨迹最小熵长度的系统调用异常检测

进程的系统调用轨迹蕴藏着程序行为不变性和用户行为不变性这两种不变性,其中,程序行为不变性可进一步细分为时间顺序不变性和频度不变性。已有的系统调用异常检测技术研究工作均集中于程序行为不变性,忽视了用户行为不变性。从系统调用中的频度不变性出发,研究了系统调用轨迹中的用户行为不变性及其描述手段,并提出采用最小熵长度描述这种不变性。在 Sendmail 数据集上的实验表明,最小熵长度较好地描述了系统调用轨迹中的用户行为不变性,结合程序行为不变性,可以极大地提高系统调用异常检测性能。     

Genetic algorithms in classifier fusion

An intense research around classifier fusion in recent years revealed that combining performance strongly depends on careful selection of classifiers to be combined. Classifier performance depends, in turn, on careful selection of features, which could be further restricted by the subspaces of the data domain. On the other hand, there is already a number of classifier fusion techniques available and the choice of the most suitable method depends back on the selections made within classifier, features and data spaces. In all these multidimensional selection tasks genetic algorithms (GA) appear to be one of the most suitable techniques providing reasonable balance between searching complexity and the performance of the solutions found. In this work, an attempt is made to revise the capability of genetic algorithms to be applied to selection across many dimensions of the classifier fusion process including data, features, classifiers and even classifier combiners. In the first of the discussed models the potential for combined classification improvement by GA-selected weights for the soft combining of classifier outputs has been investigated. The second of the proposed models describes a more general system where the specifically designed GA is applied to selection carried out simultaneously along many dimensions of the classifier fusion process. Both, the weighted soft combiners and the prototype of the three-dimensional fusion–classifier–feature selection model have been developed and tested using typical benchmark datasets and some comparative experimental results are also presented.     

A prototype classification method and its use in a hybrid solution for multiclass pattern recognition

In this paper, we propose a prototype classification method that employs a learning process to determine both the number and the location of prototypes. This learning process decides whether to stop adding prototypes according to a certain termination condition, and also adjusts the location of prototypes using either the K-means (KM) or the fuzzy c-means (FCM) clustering algorithms. When the prototype classification method is applied, the support vector machine (SVM) method can be used to post-process the top-rank candidates obtained during the prototype learning or matching process. We apply this hybrid solution to handwriting recognition and address the convergence behavior and runtime consumption of the prototype construction process, and discuss how to combine our prototype classifier with SVM classifiers to form an effective hybrid classifier.     

基于CURE聚类算法改进的原型选择算法

针对传统K近邻分类器在大规模数据集中存在时间和空间复杂度过高的问题,可采取原型选择的方法进行处理,即从原始数据集中挑选出代表原型（样例）进行K近邻分类而不降低其分类准确率.本文在CURE聚类算法的基础上,针对CURE的噪声点不易确定及代表点分散性差的特点,利用共享邻居密度度量给出了一种去噪方法和使用最大最小距离选取代表点进行改进,从而提出了一种新的原型选择算法PSCURE （improved prototype selection algorithm based on CURE algorithm）.基于UCI数据集进行实验,结果表明：提出的PSCURE原型选择算法与相关原型算法相比,不仅能筛选出较少的原型,而且可获得较高的分类准确率.     

FB-NBAS:一种基于流的网络行为分析模型

传统的入侵检测系统通常需要对攻击预先了解,在流量分析和异常检测方面存在不足。该文提出一种新的基于流的统计分析模型,通过构建网络的行为特征库,实时监测和发现网络异常,基于该分析技术设计和实现了一个网络监控系统原型。该原型可以监测和发现网络中可疑代码,并进行实时跟踪。     

Software support for multiprocessor latency measurement andevaluation

Parallel computing scalability evaluates the extent to which parallel programs and architectures can effectively utilize increasing numbers of processors. In this paper, we compare a group of existing scalability metrics and evaluation models with an experimental metric which uses network latency to measure and evaluate the scalability of parallel programs and architectures. To provide insight into dynamic system performance, we have developed an integrated software environment prototype for measuring and evaluating multiprocessor scalability performance, called Scale-Graph. Scale-Graph uses a graphical instrumentation monitor to collect, measure and analyze latency-related data, and to display scalability performance based on various program execution patterns. The graphical software tool is X-Windows based and is currently implemented on standard workstations to analyze performance data of the KSR-1, a hierarchical ring-based shared-memory architecture     

共享存储MapReduce云计算性能测试方法

为优化大量云计算线程对共享存储的访问,提出一种共享存储MapReduce云计算性能测试方法。以Oprofile为中心,对云计算的应用逻辑、动态共享库及内核系统调用进行性能统计分析,通过Valgrind与Ptrace机制完成对存储访问及系统调用的计数与计时。实验结果表明,该方法可快速定量分析共享存储的MapReduce,发现应用的内在性能瓶颈。