基于系统调用属性的程序行为监控

程序的行为轨迹常采用基于系统调用的程序行为自动机来表示.针对传统的程序行为自动机中控制流和数据流描述的程序行为轨迹准确性较低、获取系统调用上下文时间开销大、无法监控程序运行时相邻系统调用间的程序执行轨迹等问题,提出了基于系统调用属性的程序行为自动机.引入了多个系统调用属性,综合系统调用各属性的偏离程度,对系统调用序列描述的程序行为轨迹进行更准确地监控;提出了基于上下文的系统调用参数策略,检测针对系统调用控制流及数据流的行为轨迹偏离;提出了系统调用时间间距属性,使得通过系统调用及其参数无法监控的相邻系统调用间的程序行为轨迹在一定程度上得到了监控.实验表明基于系统调用属性的程序行为自动机能够更准确地刻画程序行为轨迹,较传统模型有更强的行为偏离检测能力.     

数据融合系统的时序有限自动机模型及性能分析方法

数据融合系统的各种算法是当前研究的热点问题,但缺乏有效数学工具对数据融合系统进行描述和分析.本文提出了时序有限自动机,用它建立数据融合系统的形式化模型,并且给出了时序有限自动机模型的可达性分析方法,用于分析数据融合系统的性能和行为.同时,给出了建立时序有限自动机模型和数据融合系统的正确性和实时性分析算法.     

一个新的软件行为动态可信评测模型

针对软件动态可信性度量方法和理论研究中存在的问题,提出以行为轨迹和检查点场景来刻画软件行为的动态特性,通过计算系统调用上下文值以及构造系统调用参数关系约束规则来评测行为轨迹和检查点场景的偏离程度.构建了基于软件行为自动机的动态可信评测模型.实验结果表明,本模型能够准确获取软件行为信息,正确检测出攻击行为,且系统开销较低.     

基于系统调用的入侵检测系统研究

入侵检测是网络安全研究的热点技术之一，是新一代安全保障方案。该文实现了一种基于系统调用的异常入侵检测方法，使用系统调用作为输入，构建程序中函数的有限状态自动机，利用该自动机检测进程流程是否发生异常来确定是否发生了入侵。实验结果表明，该技术不仅能有效地检测出入侵行为，而且可以发现程序漏洞的位置，便于修改代码。     

基于遗传算法的系统调用序列审计研究

在分析已有通过系统序列调用分析入侵行为的基础上,提出了一种基于遗传算法的系统调用序列审计算法。该算法首先从系统运行的进程中截获并生成系统调用序列,并通过遗传算法对其进行演化,来达到对未知攻击调用序列审计的目的。算法的规则中使用通配符可以大大减少审计规则的数量,从而提高审计系统的运行效率,最后分析了通配符个数以及信任度对规则数量和准确率的影响。     

基于场景规约的构件式系统设计分析与验证

使用接口自动机及接口自动机网络来描述构件式系统的行为设计模型,使用UML顺序图表示基于场景的需求规约,对系统设计阶段的构件交互行为的动态兼容性进行形式化分析和检验.通过对接口自动机网络状态空间的分析,给出了一系列算法以检验系统行为的存在一致性以及几种不同形式的强制一致性性质,包括前向强制一致性、逆向强制一致性以及双向强制一致性等.     

基于形式语言理论的Active XML重写算法

主动XML（AXML）是指一部分数据直接给出,另一部分数据以Web Services调用方式隐含给出XML文档。研究AXML重写问题,给出AXML重写系统的形式化定义,提出一个基于树自动机理论的AXML文档重写算法,并证明该算法的正确性及有效性。实验数据表明,基于树自动机的AXML文档交换方法具有良好的执行效率。     

基于统计语言模型的低耗时入侵检测方法

针对基于系统调用序列的入侵检测方法在实际应用中成本偏高的问题,在STIDE方法的基础上提出一种低耗时的入侵检测算法。利用N元语义模型分析系统调用序列规律,计算系统调用的贡献度,抽取最能体现用户正常行为的系统调用,建立正常模式库实现异常检测。实验结果证明,该算法在保证检测率不下降的同时,训练和检测系统调用短序列的规模降低70%。     

一种用于异常检测的系统调用参数及序列分析算法

本文基于异常检测技术及相关理论,提出了一种综合系统调用参数及调用序列的异常检测算法,该算法通过系统调用参数和序列构建具备更多特征信息的正常行为签名,从而提高入侵检测系统的检测效率及检测准度。     

基于程序合法作用域的入侵检测系统的研究

通过分析应用程序在执行时的系统调用序列,提出了一种新的基于程序合法作用域的入侵检测方法.合法作用域的建立以程序的系统调用信息为依据,并采用了有限状态自动机对其进行建模,每一个合法作用域由一个状态来表示,它包含程序运行时的有效用户标示和有效组标示,然后据此检测系统的异常行为.实验结果表明,该方法可以检测到利用应用程序代码漏洞而发起的攻击,并且有较低的错误警报率.     

Deciding branching time properties for asynchronous programs

Asynchronous programming is a paradigm that supports asynchronous function calls in addition to synchronous function calls. Programs in such a setting can be modeled by automata with counters that keep track of the number of pending asynchronous calls for each function, as well as a call stack for synchronous recursive computation. These programs have the restriction that an asynchronous call is processed only when the call stack is empty. The decidability of the control state reachability problem for such systems was recently established. In this paper, we consider the problems of checking other branching time properties for such systems. Specifically we consider the following problems — termination, which asks if there is an infinite (non-terminating) computation exhibited by the system; control state maintainability, which asks if there is a maximal execution of the system, where all the state visited lie in some “good” set; whether the system can be simulated by a given finite state system; and whether the system can simulate a given finite state system. We present decision algorithms for all these problems.     

Concurrent Secrets

Given a finite state system with partial observers and for each observer, a regular set of trajectories which we call a secret, we consider the question whether the observers can ever find out that a trajectory of the system belongs to some secret. We search for a regular control on the system, enforcing the specified secrets on the observers, even though they have full knowledge of this control. We show that an optimal control always exists although it is generally not regular. We state sufficient conditions for computing a finite and optimal control of the system enforcing the concurrent secret as desired. The biographies and photos of the authors are not available.     

基于对象的软件行为模型

以传统有限自动机(finite state automata,简称FSA)为基础,从系统调用参数中解析出系统对象,提出了一种基于系统对象的软件行为模型(model of software behavior based on system objects,简称SBO).该模型的行为状态由软件所关联的所有系统对象表示,从而赋予状态的语义信息,解决了不同行为迹中PC(program counter)值的语义不相关问题;同时,该模型可以对抗系统调用参数的直接和间接修改,从而可以检测基于数据语义的攻击.最后,实现了基于SBO的软件异常检测原型工具(intrusion detection prototype system based on SBO,简称SBOIDS),其实验和分析结果表明,该模型可以有效地检测基于控制流的攻击、模仿攻击以及针对数据语义的攻击,并给出了该工具的性能开销.     

Deterministic finite automata with recursive calls and DPDAs

We study deterministic finite automata (DFA) with recursive calls, that is, finite sequences of component DFAs that can call each other recursively. DFAs with recursive calls are akin to recursive state machines and unrestricted hierarchic state machines. We show that they are language equivalent to deterministic pushdown automata (DPDA).     

基于混杂模型的上下文相关主机入侵检测系统

主机入侵检测的关键是监测进程的运行是否正常.现有的基于静态分析建模的方法具有零虚警的优良特性,但是,由于缺乏精确性或者效率的问题仍然不能实际使用,先前的工作试图在这两者之间寻找平衡点.基于NFA(nondeterministic finite automaton)的方法高效但是不够精确,基于PDA(push down automaton)的方法比较精确但却由于无限的资源消耗而不能应用.其他模型,例如Dyck模型、VPStatic模型和IMA模型使用一些巧妙的方法提高了精确性又不过分降低可用性,但是都回避了静态分析中遇到的间接函数调用/跳转问题.提出一种静态分析-动态绑定的混杂模型(hybrid finite automaton,简称HFA)可以获得更好的精确性并且解决了这一问题.形式化地与典型的上下文相关模型作比较并且证明HFA更为精确,而且HFA更适合应用于动态链接的程序.还给出了基于Linux的原型系统的一些实现细节和实验结果.     

Numerical method for the analysis of queuing models with priority jumps1

An algorithmic approach to study queuing models with common finite and infinite buffer and jump priorities is developed. It is assumed that upon arrival of a low-priority call, one call of such kind can be transferred with some probability to the end of the queue of high-priority calls. The transition probability depends on the state of the queue of heterogeneous calls. The algorithms are proposed to calculate the quality of service metrics of such queuing models.     

Reverse reachability analysis: A new technique for deadlock detection on communicating finite state machines

The communicating finite state machines can exchange messages over bounded FIFO channels. In this paper, a new technique, called reverse reachability analysis, is proposed to detect deadlocks on the communication between the communicating finite state machines. The technique is based on finding reverse reachable paths starting from possible deadlock states. If a reverse reachable path can reach the initial global state, then deadlock occurs. Otherwise the communication is deadlock-free. The effectiveness of the technique has been verified by some real protocols such as a specification of X.25 call establishment/clear protocol and Bartlet's alternating bit protocol.     

一个基于系统调用的主机入侵检测系统的传感器实现方案

linux系统调用信息对于描述主机系统的安全状态有重要的作用,论文分析了linux系统调用信息在入侵检测中的应用;阐述了入侵检测系统HostKeeper中系统调用传感器的原形框架、软件设计和实现方法;并给出了利用linux系统调用信息进行入侵检测的实验结果。     

有限元分析软件ANSYS计算速度探究

随着计算机模拟仿真技术地不断进步,在实际工程实践中越来越多的领域都应用到有限元分析软件,ANSYS作为有限元分析软件的代表,在解决技术问题中有着广泛的应用;在利用ANSYS WORKBENCH模拟缠绕式气瓶工作状态时,工作站分别采用了机械硬盘、固态硬盘、内存作为模拟文件的存储介质对同类模拟文件进行计算并对比其计算速度、硬盘最高占用率;同时分析对比了调用不同中央处理器核数对计算速度影响,并给出工作站资源调配优化方案。     

Optimal control of ultradiffusion processes with application to mathematical finance

We introduce the optimal control problem associated with ultradiffusion processes as a stochastic differential equation constrained optimization of the expected system performance over the set of feasible trajectories. The associated Bellman function is characterized as the solution to a Hamilton–Jacobi equation evaluated along an optimal process. For an important class of ultradiffusion processes, we define the value function in terms of the time and the natural state variables. Approximation solvability is shown and an application to mathematical finance demonstrates the applicability of the paradigm. In particular, we utilize a method-of-lines finite element method to approximate the value function of a European style call option in a market subject to asset liquidity risk (including limit orders) and brokerage fees.