基于系统调用宏的马尔可夫链入侵检测模型

为了精确快速地检测出程序的异常行为,建立了一种能精确刻画程序正常行为的检测模型.把正常程序行为的系统调用迹中大量有规律的、重复出现的系统调用序列看作独立的宏,以宏为基本单位构建了一个马尔可夫链模型(MCM)来检测异常入侵.通过与基于系统调用的一阶和二阶MCM的比较发现: 基于系统调用宏的MCM在检测性能上要高于一阶和二阶MCM;而在存储要求上它稍高于一阶MCM,低于二阶MCM;虽然在训练时间上它是一阶和二阶MCM的若干倍,但其实时检测速度要高于后两者.     

基于粗糙集理论的入侵检测方法研究

为了克服入侵检测系统存在着在先验知识较少情况的推广能力差的问题,提出了基于粗糙集理论的入侵检测方法。利用粗糙理论,建立了系统调用短序列的检测模型并应用于sendmail调用序列检测。实验结果表明:它不需要全部的正常和异常的信息,在给出较少的正常和异常调用序列数据的情况下,能得到较为理想的检测效果。     

基于文法的异常检测

为了解决现有异常检测技术除了简单报警外不能提供任何有用信息的问题，提出了一种新的异常检测方法.将服务器程序的运行踪迹通过一个由系统调用、操作、事务、活动组成的层次结构模型表示，利用关键系统调用及其参数和返回值，对正常运行踪迹按层次结构模型进行分割，从中学习描述程序正常行为模式的上下文无关文法，并以标注的形式为文法产生式附加语义信息.测试实验结果表明，该方法不仅能够有效检测利用安全漏洞进行的各种攻击，而且可以对入侵事件进行分析，提供包括入侵者IP地址在内的详细报告.     

基于数据挖掘的网络入侵检测系统的设计与应用

网络攻击工具与手段日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要.将数据挖掘技术应用到网络入侵检测中,能够广泛地收集审计数据来计算模型,从而精确地捕获实际的入侵和正常行为模式,自动生成入侵检测规则,实现入侵检测系统的智能化.在此基础上设计并实现了一个智能化网络入侵检测系统模型,阐述了该系统模型的结构、工作原理及主要功能.该模型为开放的系统模型,具有很好的可伸缩性,可大大减少使用入侵检测系统的代价,有效地解决了入侵检测系统的环境适应性问题.     

基于数据挖掘的网络入侵检测系统的设计与应用

网络攻击工具与手段日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要．将数据挖掘技术应用到网络入侵检测中,能够广泛地收集审计数据来计算模型,从而精确地捕获实际的入侵和正常行为模式,自动生成入侵检测规则,实现入侵检测系统的智能化．在此基础上设计并实现了一个智能化网络入侵检测系统模型,阐述了该系统模型的结构、工作原理及主要功能．该模型为开放的系统模型,具有很好的可伸缩性,可大大减少使用入侵检测系统的代价,有效地解决了入侵检测系统的环境适应性问题．     

DMIDS中的特征构造方法研究

基于数据挖掘的入侵检测系统(DMIDS)是将数据挖掘技术用于分析系统审计数据,从中提取用户正常行为模式和黑客入侵模式,用于检测攻击.在DMIDS的实现过程中,特征构造是一个关键环节.描述了建立入侵检测模型的数据挖掘过程,设计了一个特征构造算法,该算法能自动地根据频繁模式构造临时和统计特征,用来辅助建立入侵检测模型,此构造方法所构造的特征具有较高的信息增益度.     

融合注意力与卷积的系统调用异常检测

基于系统调用数据是实施主机异常检测的一种有效手段，然而现有检测技术无法有效应对混淆攻击。提出一种融合注意力与卷积的系统调用异常检测模型，能够同时关注到系统调用序列展现的进程全局行为与每一个时间窗口的局部行为。首先，设计了一种混淆攻击数据模拟生成方法解决样本数据不平衡问题，提出基于进程行为特征的序列补齐方法增强系统调用语义特征；其次，融合注意力机制与一维权重卷积网络同时从系统调用序列的全局与局部提取数据特征；最后，基于单一变量原则和交叉验证方式获得最优异常检测模型，进而得到异常检测结果。与其他传统异常检测方法对比得出，所提模型具有更高的准确率(96.6%)和较低的误报率(1.9%),同时此模型具有抵抗混淆攻击的能力。     

基于隐马尔可夫模型的入侵检测方法

针对当前网络安全事件频发以及异常检测方法大多集中在对系统调用数据的建模研究上等问题,提出了一种基于隐马尔可夫模型的入侵检测方法。该算法基于系统调用和函数返回地址链的联合信息来建立主机进程的隐马尔可夫模型。此外,针对常用训练方法存在的不足,设计了一种快速算法用以训练模型的各个参数。实验结果表明：基于系统调用和函数返回地址链的联合信息的引入能够有效区分进程的正常行为和异常行为、大幅度降低了训练时间、取得了良好的运算效果。。     

基于时间戳马尔可夫模型的入侵检测技术研究

入侵检测是保障网络安全的重要技术.在改进LPMC算法的基础上提出了LPMCST（Linear Prediction and MarkovChain With Time Stamp）算法.LPMCST算法采用时间戳标识,对特权进程的系统调用序列进行分段训练和检测,特别是在系统调用序列波动较大的情况下,使得模型更能反映系统实时状态,从而在保持原算法优点的基础上进一步降低了误报率和漏报率,提高了检测的准确度.     

数据挖掘方法在入侵检测系统中的应用

介绍了入侵检测的概念及其技术方法,比较了异常检测与误用检测方法的优缺点,探讨了数据挖掘技术在异常检测中的应用,分析了数据挖掘方法中的关联分析、序列模式分析和分类分析在入侵检测系统中的协同工作方式,通过对用户行为模式的挖掘,得到入侵规则．     

Classification Model with High Deviation for Intrusion Detection on System Call Traces

A new classification model for host intrusion detection based on the unidentified short sequences and RIPPER algorithm is proposed. The concepts of different short sequences on the system call traces are strictly defined on the basis of in-depth analysis of completeness and correctness of pattern databases. Labels of short sequences are predicted by learned RIPPER rule set and the nature of the unidentified short sequences is confirmed by statistical method. Experiment results indicate that the classification model increases clearly the deviation between the attack and the normal traces and improves detection capability against known and unknown attacks.     

基于聚类的网络入侵检测系统模型

入侵检测中对未知入侵的检测主要是由异常检测来完成的,传统异常检测方法需要构造一个正常行为特征轮廓的参考模型,但建立该特征轮廓使系统的开销巨大.对此,提出一种针对网络入侵检测的聚类算法,该方法的优点在于不需要用人工的或其他的方法来对训练集进行标识.在检测过程中,随着有效信息的不断增加,模型得到了更新,使增量聚类后的新模型与原有模型的检测性能相比,有很大提高.     

基于CBR技术的入侵检测系统研究

目前,成熟的商用入侵检测系统都是基于特征或者规则的精确匹配,如果攻击模式过于特殊或者攻击者采用一些躲避检测的手段,就容易产生误报或漏报,从而降低入侵检测系统的准确性。针对当前入侵检测系统存在的缺陷,提出了一种基于案例推理技术(Case-Based Reasoning,CBR)的入侵检测系统模型,并在该模型基础上提出了基于Snort的预处理模型以避免推理产生的系统资源过度消耗问题;提出了基于分层结构的案例库维护模型以解决案例质量问题和访问效率问题;设计了一种基于变权值的CBR引擎搜索匹配算法以提高搜索精度。仿真实验证明了上述系统可以有效地解决躲避攻击问题,其检测正确率较传统系统有所改善。     

基于多层前向神经网络入侵检测系统的研究

针对目前入侵检测系统不能有效检测未知入侵行为的问题,根据神经网络的自学习和自适应性强的特点,采取了将多层前向神经网络与入侵检测系统相结合的方法,提出了一种入侵检测模型,给出了此模型中神经网络模块的改进训练算法,实验证明,此算法入侵检测率可达86％,最大误报率为3％,加大训练样本可进一步提高检测率,从而更有效地检测出未知的入侵行为;此算法实时性强,可有效提高神经网络的学习效率。     

基于增量One-Class支持向量机的注册表异常检测

提出一种基于增量支持向量机的异常检测方法,利用Windows注册表建立了入侵检测模型,通过SVM算法实时判断当前对注册表的访问行为是否为异常状态来发现和识别入侵行为。实验表明：该方法对未知病毒和未知入侵行为具有较高检测率,可以提高在先验知识较少情况下的学习机推广能力。同时,考虑到注册表键值数量巨大,采用增量SVM算法可以在不影响检测性能的同时减少训练时间。     

基于移动代理的分布式入侵检测系统模型研究

针对目前分布式入侵检测系统存在的一些问题,利用移动代理(MA)技术的优势,提出了一种基于MA的分布式入侵检测系统框架模型.此模型使用这一技术,从每个被监视主机处协调处理信息,之后完成入侵行为的总体信息汇总.详述了实现原型系统的关键技术及解决方案,并对系统作了简要评价,得出结论.     

An entropy-based unsupervised anomaly detection pattern learning algorithm

Currently, most anomaly detection pattern learning algorithms require a set of purely normal data from which they train their model. If the data contain some intrusions buried within the training data, the algorithm may not detect these attacks because it will assume that they are normal. In reality, it is very hard to guarantee that there are no attack items in the collected training data. Focusing on this problem, in this paper,firstly a new anomaly detection measurement is proposed according to the probability characteristics of intrusion instances and normal instances. Secondly, on the basis of anomaly detection measure, we present a clusteringbased unsupervised anomaly detection patterns learning algorithm, which can overcome the shortage above. Finally, some exoeriments are conducted to verify the orooosed algorithm is valid.