Polymorphic蠕虫特征自动提取算法及检测技术研究

入侵检测系统检测蠕虫攻击的关键在于蠕虫特征是否准确,随着蠕虫Polymorphic技术的不断发展,如何快速有效地提取Polymorphic蠕虫特征,是入侵检测中特征提取领域的一个重要的研究方向。采用基于模式的特征提取算法,通过对多个可疑Polymorphic蠕虫流量进行序列比对,自动提取它们的最长公共子序列,结果用两种形式的向量表示;并采用相似度度量的检测方法,利用已提取的特征向量,判别新到来的Polymorphic蠕虫流量所属的类别,从误报率和漏报率方面验证了特征提取算法的有效性以及相似度度量检测方法的有效性。     

一种改进的多态蠕虫特征提取算法

大多数多态蠕虫特征提取方法不能很好地处理噪音,提取出的蠕虫特征无法对多态蠕虫进行有效检测。为此,提出一种改进的多态蠕虫特征提取算法。采用Gibbs算法从包含n条序列(包括k条蠕虫序列)的可疑流量池中提取出蠕虫特征,在识别蠕虫序列的过程中基于color coding技术提高算法的运行效率。仿真实验结果表明,该算法能够减少时间和空间开销,即使可疑池中存在噪音,也能有效地提取多态蠕虫。     

基于彩色编码的多态蠕虫特征自动提取方法

快速而准确地提取蠕虫特征对于有效防御多态蠕虫的传播至关重要,但是目前的特征产生方法在噪音干扰下无法产生正确的蠕虫特征.提出基于彩色编码的特征自动提取算法CCSF(color coding signature finding)来解决有噪音干扰情况下的多态蠕虫特征提取问题.CCSF算法将可疑池中的n条序列分成m组,然后运用彩色编码对每组序列进行特征提取.通过对每组提取出来的特征集合进行过滤筛选,最终产生正确的蠕虫特征.采用多类蠕虫对CCSF算法进行测试,并与其他蠕虫特征提取方法进行比较,结果表明,CCSF算法能够在有噪音干扰的条件下准确地提取出多态蠕虫的特征,该特征不包含碎片,易于应用到IDS(intrusion detection system)中对多态蠕虫进行检测.     

改进的蠕虫特征自动提取模型及算法设计

文章提出了一种基于序列比对的蠕虫特征自动提取模型,该模型针对现有蠕虫特征自动提取系统的可疑蠕虫样本流量单来源和粗预处理等问题,提出了对网络边界可疑流量和蜜罐捕获网络流量统一的聚类预处理,并使用改进的T-Coffee多序列比对算法进行蠕虫特征提取。实验分别对Apache-Knacker和TSIG这两种蠕虫病毒进行特征提取,从实验结果可以看出文章提出的模型产生的特征质量优于比较流行的Polygraph、Hamsa两种技术。     

基于改进蚁群算法的多态蠕虫特征提取

多态蠕虫特征提取是基于特征的入侵检测的难点,快速提取出精确程度更高的多态蠕虫特征对于有效防范蠕虫的快速传播有着重要的作用。针对层次式的多序列匹配(HMSA)算法进行多序列比对的时间效率较低和由迭代方法提取出的特征不够精确等问题,提出了基于改进蚁群算法的多态蠕虫特征提取方法antMSA。该方法首先对蚁群的搜索策略进行了相应的改进,并将改进后的蚁群算法引入到奖励相邻匹配的全局联配(CMENW)算法中,利用蚁群算法快速收敛能力,在全局范围内快速生成较好解,提取出多态蠕虫的特征片段;然后将其转化为标准入侵检测系统(IDS)规则,用于后期防御。实验表明,改进后的蚁群算法能够较好地克服基本蚁群算法的停滞现象,扩大搜索空间,能够有效提高特征提取的效率和质量,降低误报率。     

多态蠕虫特征码自动提取算法

针对多态技术下变形蠕虫的特征与自动提取算法的问题, 提出一种多态蠕虫特征描述方法, 并给出特征码自动提取算法. 这种结合了PADS和Polygraph优点的MS-PADS特征提取方法, 能在强噪声下快速提取高质量的多态蠕虫特征, 具有低误报率、检测精度高和通用性好等特点.     

基于蠕虫攻击模型和语义分析的特征码自动提取

传统手工提取蠕虫的特征串需要很长时间,而基于串模式分析自动提取的虚警率和漏警率始终不太理想.该文提出了一种基于蠕虫攻击模型的语义分析特征提取法.该方法基于蠕虫攻击模型先验知识,自动识别蠕虫代码各个功能部分,将蠕虫攻击的必用部分作为蠕虫的特征串,提出了蠕虫攻击的通用模型OSJUMP.基于该模型,证明了基于语义提取蠕虫特征的有效性,给出了一种基于语义的蠕虫特征自动提取算法.对Red Code等各种实际蠕虫进行测试,结果显示自动提取生成的蠕虫特征值和安全厂商手工分析提供的特征值具有很大的可比性.     

基于机器视觉的健美操跳跃动作特征提取方法研究

由于传统健美操跳跃动作特征提取方法存在动作方位角度识别准确率低、特征提取率低和特征提取效率低的问题，提出基于机器视觉的健美操跳跃动作特征提取方法。通过机器视觉获取健美操视频，提取健美操视频的熵值序列和音乐特征，融合以上特征提取健美操动作关键帧，利用高斯混合模型对关键帧进行处理，消除健美操关键帧的背景；采用阈值识别算法识别健美操跳跃动作，结合Harris3D算子建立健美操跳跃动作序列势函数，在此基础上，利用AdaBoost算法提取健美操跳跃动作特征。实验结果表明，所提方法的动作方位角度识别准确率高、特征提取率高、提取效率高。     

一种基于序列比对的入侵特征提取算法

本文提出了一种新的基于多序列比对1的入侵特征提取算法.该算法包括两部分:基于局部比对的两序列比对算法SLA(Sequence Local Alignment)和多序列比对算法MSA(Multi-Sequence Alignment).SLA算法借鉴了生物信息学中两序列比对的思想,用局部序列比对思想和仿射空位罚分模型代替了目前在攻击特征提取中常用的全局序列比对思想和权值恒定空位罚分模型,以提高攻击特征的泛化程度.MSA算法利用一种新的剪枝策略来提高现有多序列比对算法在攻击特征提取中的抗噪声能力.本文详细介绍了两个算法,并给出了算法分析,最后对算法的有效性、提取的攻击特征在检测中的有效性以及抗噪声能力进行了实验验证.     

基于特征提取的未知蠕虫攻击防御模型设计

本文提出了一种基于特征提取的蠕虫攻击防御模型,该模型能早期检测蠕虫攻击流量,提取未知蠕虫的代码特征片断,动态更新入侵检测系统规则库.本文给出了整体模型及组成功能模块的详细设计.     

融合多路特征和注意力机制的强化学习关键帧提取算法

针对现有视频关键帧提取算法对运动类视频中运动特征提取不准导致的漏检和误检问题,提出一种融合多路特征和注意力机制的强化学习关键帧提取算法。该算法首先通过人体姿态识别算法对视频序列进行人体骨骼关节点提取;然后使用S-GCN和ResNet50网络分别提取视频序列中的运动特征和静态特征,并将两者进行加权融合;最后应用注意力机制对特征序列进行视频帧重要性计算,并利用强化学习进行关键帧的提取和优化。实验结果表明,该算法能较好地解决运动类视频在关键帧提取中出现的漏误检问题,在检测含有关键性动作的视频帧时表现较好,算法准确率高、稳定性强。     

蠕虫病毒特征码自动提取原理与设计

目前网络入侵检测系统(NIDS)主要利用特征码检测法来监测与阻止网络蠕虫,而蠕虫特征码提取仍是效率低的人工过程。为解决这个问题提出了基于陷阱网络的蠕虫特征码自动提取思想,介绍了原型系统的体系结构和主要算法。该系统利用数据包负载中出现频率高的字符串来提取蠕虫特征码。最后通过实验结果分析算法主要参数对系统的影响。     

人机交互中视觉语言的灰度轮廓权向量差分唇形特征模型

该文结合函数变形模型和灰度轮廓向量模型的特点,给出了一种维数少、有效性高的视觉语言特征—灰度轮廓权向量差分唇形特征模型。该特征融合了嘴唇图像的形状变化信息和灰度信息,能够较完善地描述嘴唇的变化。同时,得出了一种新的视觉特征提取算法。仿真结果表明,该算法与传统的函数变形模型相比,总的特征提取准确率提高了5个百分点,每个发音图像序列特征提取的准确率提高了1.6至9个百分点,每帧图像的特征提取时间由4.6495秒下降到0.4455秒。对“1”至“10”数字发音的嘴唇图像序列进行识别,获得了较高的识别率。因此,灰度轮廓权向量差分唇形特征是一种精炼、描述性强、适合于唇读识别的视觉语言特征,该算法能自动地完成模型的训练和视觉特征的提取,是一种有效的特征提取算法。     

基于已知特征项和环境相关量的特征提取算法

在现有基于已知特征项特征提取算法的基础上,提出一种基于已知特征项和环境相关量的特征提取算法。该算法通过已知特征项搜索频繁项集,提高了特征提取速度。环境相关量的引入使提取的特征能更准确地描述入侵行为。实验结果表明,该算法在提取同类入侵行为的特征时,比Signature Apriori算法更快更准确。     

一种视频序列拼接的新方法

提出了一种基于视频序列拼接的新方法。首先,利用KLT算法对视频序列中特征点进行提取和跟踪,实现关键帧粗略选取;其次,在选取的关键帧中利用SURF算法进行特征提取,利用最近邻距离比进行特征点匹配,通过RANSAC估计算法求精单映矩阵,并结合关键帧选取判定寻找最佳关键帧;最后,利用级联单映矩阵和加权融合算法实现视频序列拼接。实验验证了该方法的有效性。     

一种适用于应用层协议的特征提取算法

基于PrefixSpan算法,提出一种适用于应用层协议的特征提取算法。通过加入关于位置的约束,减少频繁序列模式的产生数量,结合特征提取过程的实际情况加入约束条件,从而在挖掘过程中减少投影数据库产生的个数,在构建投影数据库过程中,去除关于非频繁项的存储及投影数据库中序列数小于最小支持度的扫描过程。实验结果表明,与原算法相比,该算法的运行时间较短,提取的特征具有较高的准确率和较低的误报率。     

基于失败连接流量偏离度的蠕虫早期检测方法

通过分析网络蠕虫攻击的特点，定义了能够反映蠕虫攻击特征的失败连接流量偏离度（FCFD）的概念，并提出了一种基于FCFD时间序列分析的蠕虫早期检测方法。该方法利用小波变换对FCFD时间序列进行多尺度分析，利用高频分量模极大值进行奇异点检测，从而发现可能的蠕虫攻击。同时给出了一种基于失败连接分析的蠕虫感染主机定位和蠕虫扫描特征提取方法。实验结果显示，该方法能够有效检测未知蠕虫的攻击。和已有方法相比，该方法具有更高的检测效率和更低的误报率。     

自适应块匹配搜索算法研究

为从视频序列提取运动矢量，进行有效的视频检索，对现存的运动特征的提取算法存在的问题进行了分析，提出了基于自适应块匹配搜索的全局运动特征提取方法。实验表明该算法在大大提高搜索速度的同时，能够获得几乎与全搜索算法相同的峰值信噪比（PSNR）。     

多态蠕虫产生器的设计与实现

为了更好地研究和防御多态蠕虫,在研究多态变形技术的基础上,针对基于缓冲区溢出漏洞进行传播的蠕虫,设计了多态蠕虫产生器。以SQL Slammer蠕虫和ATPhttpd蠕虫作为实例介绍产生器的工作过程。从产生器的设计过程和实例分析可以看出,通过多态处理的蠕虫依旧具有相同字符串序列特征,可以依据这些字符串序列对多态蠕虫进行有效防御。最后对产生器的功能进行测试。测试结果表明,该产生器能够对程序进行有效的多态处理,为多态蠕虫防御和特征自动提取等研究工作提供有效的实验数据。     

目标活动特征序列提取算法研究

从目标的活动过程中提取目标活动特征，是分析目标活动的基础。为了降低目标活动特征的复杂性，分析了一种活动特征提取方法。该方法以目标活动的状态参数序列为基础，先将目标的活动状态参数划分为短序列集后，对其进行数据清洗，再从中计算得到目标活动的分类规则，最后从规则匹配结果中提取目标的活动特征序列。通过仿真实验，验证了该算法的可行性和有效性。