基于系统调用的主机安全分析

入侵检测是一种积极主动的网络系统安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。系统调用是用户程序和操作系统之间交互的接口,基于系统调用的入侵检测,就是针对主机的系统调用数据进行监控和分析的技术。基于系统调用序列的主机入侵检测技术具有准确率高、误报率低和稳定性好的特性,是开发入侵检测系统的一个很好的选择。主要从异常检测出发,利用两种不同分析方法,分别对基于系统调用序列的主机入侵检测进行较为深入的研究,并分析和验证了两种方法各自的优点和不足。     

基于主机系统调用的入侵检测方法研究

大多数的入侵行为是由于一系列操作系统内部的非法或异常调用引起的，因此对系统调用序列进行分析是入侵检测的一个重要方法。给出了两种基于系统调用的序列分析方法：基于频繁统计和基于权值树的滑动窗口序列分析方法，并且描述了相应算法的主要过程。并通过试验证明了它们的合理性和有效性。     

基于LDA模型的主机异常检测方法

基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类。为此,引进LDA(Latent Dirichlet Allocation)文本挖掘模型构建新的入侵检测分类算法。该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测。针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率。     

A HOST ANOMALY DETECTION METHOD BASED ON LDA MODEL

基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类.为此,引进LDA( Latent Dirichlet Allocation )文本挖掘模型构建新的入侵检测分类算法.该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测.针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率.     

虚拟健壮主机入侵检测的实验研究

基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一,然而,基于主机的入侵检测系统相当脆弱。提出利用虚拟机来健壮主机入侵检测的数据采集,并通过实验从虚拟机外部采集了系统调用序列号,从理论和试验的角度证明了该方法的正确性;同时还对虚拟环境占用CPU时间的百分比进行了分析,证明了该方法的可行性。     

基于系统调用序列分析入侵检测的层次化模型

系统调用是操作系统和用户程序的接口,任何程序必须通过系统调用才能执行。近年来,网络安全事件频发,基于系统调用序列分析的入侵检测方法成为了网络安全研究的热点技术之一。本文提出了基于枚举序列、隐马尔科夫两种方法建立系统行为的层次化模型,不同于传统意义上的单层次模型。在新墨西哥大学提供的实验数据上,本方法在检测程序异常行为的准确度和响应时间方面都得到了很好的效果,表明该方法更适合基于主机入侵的在线检测方法。     

基于系统调用参数的入侵检测方法

基于系统调用序列的入侵检测系统没有考虑所有的系统调用特性,导致一些新型的攻击行为通过伪装能绕过基于系统调用序列的入侵检测系统的检测。针对上述攻击行为,提出一种基于系统调用参数的入侵检测系统模型。实验结果表明,该系统对伪装的系统调用有很高的检测率。     

基于LZW算法和贝叶斯MARS的入侵检测研究

提出了一种基于LZW算法的入侵检测算法。使用系统调用序列作为特征数据,采用LZW算法对系统调用序列数据进行变长短序列划分,同时对短序列进行压缩,并在应用的过程中对LZW算法进行适当调整以适应序列的划分。通过贝叶斯多元自适应回归样条(贝叶斯MARS)模型,对正常和异常序列进行分类并标识入侵。实验结果表明,基于LZW变长序列划分方法符合系统调用序列的内在规律,在较高压缩比的情况下,获得了很好的检测性能。LZW算法与贝叶斯MARS相结合的入侵检测算法,对各种数据表现稳定,具有一定可行性和实用性。     

基于Windows Native API序列的系统行为入侵检测

针对Windows系统入侵检测的不足,研究并借鉴Linux下基于系统调用序列进行入侵检测的方法,提出一种采用BP神经网络算法对Windows Native API序列学习和分类的内核级主机入侵检测方案。通过实验,验证了采用Windows Native API序列进行系统入侵的可行性。Native API是Windows系统内核模式下的API,可以类比于Linux下的系统调用。通过训练神经网络学习Native API序列,建立一个对正常和异常Native API序列进行分类的BP神经网络。在入侵检测时,利用训练后的神经网络对不断出现的Windows Native API序列进行分类,判断系统是否出现异常入侵。     

基于统计语言模型的低耗时入侵检测方法

针对基于系统调用序列的入侵检测方法在实际应用中成本偏高的问题,在STIDE方法的基础上提出一种低耗时的入侵检测算法。利用N元语义模型分析系统调用序列规律,计算系统调用的贡献度,抽取最能体现用户正常行为的系统调用,建立正常模式库实现异常检测。实验结果证明,该算法在保证检测率不下降的同时,训练和检测系统调用短序列的规模降低70%。     

基于系统调用序列分析的入侵检测方法

提出了一种改进的基于系统调用序列分析的入侵检测方法,该方法对审计数据首先进行MLSI现象的检测,在发现MLSI之后,再与正常库进行匹配,以检测是否有入侵行为.理论分析和实验表明,MLSI能够有效地标识入侵,通过查找MLSI,再进行异常检测的方法可以大大地降低系统的开销,这些都说明该方法是有效和可行的.     

基于SVDD的网络安全审计模型研究

审计是入侵检测的基础，为入侵检测提供必要的分析数据．在传统的网络安全审计与入侵检测系统中，需要由人工来定义攻击特征以发现异常活动．但攻击特征数据难以获取，能够预知的往往只是正常用户正常使用的审计信息．提出并进一步分析了一种基于支持向量描述（SVDD）的安全审计模型，使用正常数据训练分类器，使偏离正常模式的活动都被认为是潜在的入侵．通过国际标准数据集MITLPR的优化处理，只利用少量的训练样本，试验获得了对异常样本100％的检测率，而平均虚警率接近为0．     

Unifying intrusion detection and forensic analysis via provenance awareness

The existing host-based intrusion detection methods are mainly based on recording and analyzing the system calls of the invasion processes (such as exploring the sequences of system calls and their occurring probabilities). However, these methods are not efficient enough on the detection precision as they do not reveal the inherent intrusion events in detail (e.g., where are the system vulnerabilities and what causes the invasion are both not mentioned). On the other hand, though the log-based forensic analysis can enhance the understanding of how these invasion processes break into the system and what files are affected by them, it is a very cumbersome process to manually acquire information from logs which consist of the users’ normal behavior and intruders’ illegal behavior together.This paper proposes to use provenance, the history or lineage of an object that explicitly represents the dependency relationship between the damaged files and the intrusion processes, rather than the underlying system calls, to detect and analyze intrusions. Provenance more accurately reveals and records the data and control flow between files and processes, reducing the potential false alarm caused by system call sequences. Moreover, the warning report during intrusion can explicitly output system vulnerabilities and intrusion sources, and provide detection points for further provenance graph based forensic analysis. Experimental results show that this framework can identify the intrusion with high detection rate, lower false alarm rate, and smaller detection time overhead compared to traditional system call based method. In addition, it can analyze the system vulnerabilities and attack sources quickly and accurately.     

基于数据挖掘的入侵检测系统研究

本文在深入研究数据挖掘、入侵检测技术的基础上,针对目前入侵检测系统存在的问题,构建了一个基于数据挖掘的入侵检测系统.该系统能检测已知和未知的入侵行为,可降低漏报和误报,提高入侵检测的精确性和速度,具有一定的自适应能力和可扩展性.     

基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

系统调用序列的Markov模型及其在异常检测中的应用

建立了计算机系统中系统调用序列的Markov模型，并在此模型的基础上提出了一种用于计算机异常检测的方法，文章利用统计方法分析进程中系统调用的发生情况，定义了一个依赖于状态转移概率的失配因子，并用它来计算失配率，由此判断被监视进程进行的操作是正常行为还是异常行为，文章还提出了一种基于遗忘因子的状态转移概率的更新算法。     

基于信任机制的网格资源调度算法

针对目前网格资源调度中忽视信任机制的缺陷,在行为信任模型和能力信任评估的基础上,提出一种信任驱动的资源调度算法TDS。该算法同时兼顾了性能QoS和信任QoS。仿真实验结果表明,TDS算法与传统的基于性能QoS的算法和基于信任QoS的算法相比,在最小完工时间和服务请求提交成功率方面具有较好的性能。     

基于一种相对Hamming距离的入侵检测方法--RHDID

首先分析了传统入侵检测方法的不足,即误用入侵检测方法难于检测新形式的入侵,异常入侵检测方法难于建立合理有效的正常行为特征和检测方法。然后,通过对特权进程的系统调用和参数序列的研究,提出了一种相对Hamming距离入检测方法（RHDID）。应用RHDID检测入侵不仅能有效降低漏报率和误报率,而且使实时入侵检测成为可能。最后,原型系统证实了该方法的可行性,获得了在实时环境中检测入侵的技术效果。