共查询到17条相似文献,搜索用时 62 毫秒
1.
提出了一种基于系统调用序列的入侵检测模型,利用绝对安全环境下的应用程序系统调用序列建立正常行为模式。当发现实际系统调用序列模式与正常的行为模式不匹配时,标记为人侵,并采取应急措施。一个例程管理一个进程,给出了模式的适应度计算方法以及两个生成下一代模式的算子。实验结果表明:入侵检测模型与现有的一些模型相比,具有更好的准确性和更高的效率。 相似文献
2.
系统调用记录了进程活动过程中最精确原始的行为信号,通过对应用程序与操作系统交互产生的系统调用进行分析,可以对进程的异常行为进行有效鉴别,保障主机的安全运行。对基于系统调用的主机异常检测的研究现状进行了梳理。首先介绍了异常检测常用数据集,其次总结了系统调用数据预处理的典型方法,然后详细分析和对比了系统调用异常检测常用算法和模型,并介绍了异常检测常用的评估指标,最后对未来研究方向及相关挑战进行了展望。 相似文献
3.
基于系统调用数据是实施主机异常检测的一种有效手段,然而现有检测技术无法有效应对混淆攻击。提出一种融合注意力与卷积的系统调用异常检测模型,能够同时关注到系统调用序列展现的进程全局行为与每一个时间窗口的局部行为。首先,设计了一种混淆攻击数据模拟生成方法解决样本数据不平衡问题,提出基于进程行为特征的序列补齐方法增强系统调用语义特征;其次,融合注意力机制与一维权重卷积网络同时从系统调用序列的全局与局部提取数据特征;最后,基于单一变量原则和交叉验证方式获得最优异常检测模型,进而得到异常检测结果。与其他传统异常检测方法对比得出,所提模型具有更高的准确率(96.6%)和较低的误报率(1.9%),同时此模型具有抵抗混淆攻击的能力。 相似文献
4.
针对异常检测中的数据源选择、行为描述、正常行为学习和行为匹配,提出了一种新的基于安全模块的数据源。为验证其有效性,采用基于信息理论的数据分析和马尔可夫模型两种方法,并与目前较多采用的系统调用数据源作了对比。实验结果表明,新数据源有效,且在一定条件下,比系统调用数据更具优势。 相似文献
5.
6.
入侵检测是网络安全中极其重要的一环,异常检测是近年来入侵检测研究领域的热点。从分析入侵检测和网络安全模型间的关系开始,介绍入侵检测的概念和入侵检测系统的抽象模型,重点讨论基于网络数据、基于系统调用和基于系统调用参数的异常检测技术方法,对3种技术的重要研究方法进行了分析。指出入侵检测目前应尽量降低入侵检测系统对目标系统的性能影响和重点解决入侵异常检测系统的性能开销问题。随着网络环境的不断变化和入侵攻击手段的不断推陈出新,入侵异常检测未来的研究趋势之一是在入侵异常检测系统中增加可视化情景再现过程。 相似文献
7.
为了精确快速地检测出程序的异常行为,建立了一种能精确刻画程序正常行为的检测模型.把正常程序行为的系统调用迹中大量有规律的、重复出现的系统调用序列看作独立的宏,以宏为基本单位构建了一个马尔可夫链模型(MCM)来检测异常入侵.通过与基于系统调用的一阶和二阶MCM的比较发现: 基于系统调用宏的MCM在检测性能上要高于一阶和二阶MCM;而在存储要求上它稍高于一阶MCM,低于二阶MCM;虽然在训练时间上它是一阶和二阶MCM的若干倍,但其实时检测速度要高于后两者. 相似文献
8.
介绍了入侵检测的概念及其技术方法,比较了异常检测与误用检测方法的优缺点,探讨了数据挖掘技术在异常检测中的应用,分析了数据挖掘方法中的关联分析、序列模式分析和分类分析在入侵检测系统中的协同工作方式,通过对用户行为模式的挖掘,得到入侵规则. 相似文献
9.
异常入侵检测中数据挖掘技术RIPPER的应用 总被引:1,自引:0,他引:1
介绍了入侵检测技术的分类以及数据挖掘技术在入侵检测中的应用,并阐述了构建的基于数据挖掘算法RIPPER的异常入侵检测系统的设计与实现. 相似文献
10.
11.
Anomaly detection and recognition are of prime importance in process industries. Faults are usually rare, and, therefore, predicting them is difficult. In this paper, a new greedy initialization method for the K-means algorithm is proposed to improve traditional K-means clustering techniques. The new initialization method tries to choose suitable initial points, which are well separated and have the potential to form high-quality clusters. Based on the clustering result of historical disqualification product data in manufacturing process which generated by the Improved-K-means algorithm, a prediction model which is used to detect and recognize the abnormal trend of the quality problems is constructed. This simple and robust alarm-system architecture for predicting incoming faults realizes the transition of quality problems from diagnosis afterward to prevention beforehand indeed. In the end, the alarm model was applied for prediction and avoidance of gear-wheel assembly faults at a gear-plant. 相似文献
12.
ZHOU Xiaomin~ 《武汉理工大学学报》2006,(Z3)
Anomaly detection and recognition are of prime importance in process industries.Faults are usually rare,and, therefore,predicting them is difficult.In this paper,a new greedy initialization method for the K-means algorithm is proposed to improve traditional K-means clustering techniques.The new initialization method tries to choose suitable initial points,which are well separated and have the potential to form high-quality clusters.Based on the clustering result of historical disqualification product data in manufacturing process which generated by the Improved-K-means algorithm,a prediction model which is used to detect and recognize the abnormal trend of the quality problems is constructed.This simple and robust alarm-system architecture for predicting incoming faults realizes the transition of quality problems from diagnosis afterward to prevention beforehand indeed.In the end,the alarm model was applied for prediction and avoidance of gear-wheel assembly faults at a gear-plant. 相似文献
13.
Anomaly Detection Based on Multi-Detector Fusion Used in Turbine 总被引:1,自引:0,他引:1
In order to improve the gas turbine engine health monitoring capability, using multiple detector fusion method in the monitoring system of gas turbine data monitor. Multi detector frame fusion includes point bias anomaly detector, contextual bias anomaly detector and collective bias anomaly detector, common to analyze the new arrival data, and the possible abnormal state to vote and weighted statistics as a result output. The experimental results show the method can effectively detect the mutation phenomenon, relatively slow changes and abnormal behavior discordant to the conditions. The framework applied to the gas turbine engine can effectively enhance the health diagnosis ability, will be highly applied for real industry. 相似文献
14.
入侵检测是一个比较新的、迅速发展的领域,已成为网络安全体系结构中的一个重要环节。本文通过对多代理技术和两种入侵检测方法的研究,提出了一种基于异常和误用检测协同的多代理分布式入侵检测系统模型,并且对该模型的结构和代理的处理流程进行了描述,该模型是一个开放的系统模型,具有很好的可扩展性,易于加入新的入侵检测代理,也易于增加新的入侵检测模式,代理之问的协同采用独立的通信服务代理来宾现。 相似文献
15.
Application of Bayesian Dynamic Forecast in Anomaly Detection 总被引:1,自引:0,他引:1
A macroscopical anomaly detection method based on intrusion statistic and Bayesian dynamic forecast is presented. A large number of alert data that cannot be dealt with in time are always aggregated in control centers of large-scale intrusion detection systems. In order to improve the efficiency and veracity of intrusion analysis, the intrusion intensity values are picked from alert data and Bayesian dynamic forecast method is used to detect anomaly. The experiments show that the new method is effective on detecting macroscopical anomaly in largescale intrusion detection systems. 相似文献
16.
讨论了基于粗糙集特征约简的SVM(支持向量机)异常检测方法,对源自KDD99的实验数据集分别采用SVM和特征约减后SVM进行仿真实验,依据实验结果的比较,说明在网络异常检测中基于特征约减后的SVM和直接采用SVM相比,在保持检测精度不显著降低的同时,前者能够有效的缩短训练时间. 相似文献
17.
随着Internet遍布到世界的各个角落,计算机暴露在互联网的各种恶意攻击前。我们需要行之有效的入侵检测系统来保护计算机免受这些恶意攻击的侵扰。现有基于信号的检测方法十分依赖加标识的训练数据,而对于新型的攻击束手无策。尽管基于聚类的检测方法可以克服这个缺陷,但是聚类方法的时间开销太大,从而导致网络管理员的反应延迟。本文介绍了一种新型的快速自适应聚类算法(FACA,FastAdaptive C lusterA lgorithm)该算法的时间复杂度为O(mn),n为数据点的数量,m为采样的次数,m的值远小于n,然而传统聚类方法的时间复杂度为O(n2),采用KDD CUP99的实验数据对该方法进行了评估,结果表明,相对于传统聚类方法,FACA显著的提高了检测效率。 相似文献