基于系统调用特征的入侵检测研究

对网络服务程序进行攻击是非法用户入侵系统的主要途径 ,针对关键程序的入侵检测近年来受到重视 .该文提出的CTBIDS检测模型在利用系统调用特征树描述程序行为特征的基础上 ,通过异常有限积累判别程序入侵 ,既能体现异常状况的长期积累 ,也能很好地反映入侵的异常局部性原理 .此外 ,该文通过统计分析方法确定入侵判别参数 ,使得入侵判别更加准确 .测试及试用结果表明CTBIDS能有效检测出针对关键程序的攻击     

基于系统调用的入侵检测传感器研究与实现

Linux操作系统调用信息对于描述主机系统的安全状态有重要的作用，分析了Linux操作系统调用信息在入侵检测中的应用；阐述了入侵检测系统Host Keeper中系统调用传感器的原形框架、软件设计和实现方法；并给出了利用Linux操作系统调用信息进行入侵检测的研究。     

基于系统调用的入侵检测技术研究

系统调用序列已经成为基于主机的入侵检测系统重要的数据源之一。通过对系统调用的分析来判断入侵事件,具有准确性高、误警率低和稳定性好等优点。目前国际上这方面的研究主要集中在如何设计一个有效的检查算法以提高检测效率。本文对当前国际上系统级入侵检测技术进行了总结,对主要的分析方法特别是数据挖掘技术进行了详细讨论和分析,然后设计一个基于系统调用入侵检测的通用模型。     

基于系统调用的入侵检测方法研究

系统调用是操作系统和用户程序的接口，任何程序都必须通过系统调用才能执行，针对系统调用进行入侵检测的实施．能增加入侵检测的准确性和正确性，并使实时监测和分层安全成为可能。本文分析了在系统调用层面上实现入侵检测的可能性和优越性，详细阐明了目前各种基于系统调用入侵检测的方法和性能比较，讨论了基于系统调用入侵检测研究的发展趋势。     

基于主机系统调用序列的实时入侵检测系统的模型研究

首先介绍了基于主机系统调用的入侵检测的概念，进而说明了研究基于主机系统调用序列的实时入侵检测系统的重要性；然后提出了该系统的模型设计方案，包括结构分析、接口设计和相关算法；最后给出了仿真实验和实验数据分析。     

一种改进的基于系统调用的入侵检测算法

针对入侵检测中所采集关于系统调用的原始数据集规模很大,当前的入侵检测系统难以取得令人满意的效果的问题,提出了一种基于非负矩阵分解算法的异常入侵检测模型。对前人提出的以训练数据的系统调用序列的频率属性为基本特征判断待检测数据是否正常的检测方法进行改进,在数据预处理阶段综合考虑系统调用数据的时序、状态转移和频率属性,从而对入侵行为做出更精确的判断。实验表明,选取合适维数r可以使的入侵检测的漏报率和误报率都趋于零。     

基于HMM的系统调用异常检测

我们利用隐马尔可夫模型来描述特权进程正常运行时局部系统调用之间存在的规律性.具体方法是将UNIX特权程序的系统调用轨迹通过隐马尔可夫模型处理得到系统状态转移序列,再经滑窗后得到系统状态转移短序列.初步的实验证明这样得到的系统状态转移短序列比TIDE方法提出的系统调用短序列能更加简洁和稳定地表示系统的正常状态,采用这种状态短序列建立的正常轮廓库比较小,而且对训练数据的不完整性不太敏感.在同等的训练数据下,检测时本方法比TIDE方法的检测速度快,虚警率低.     

基于Windows系统调用的异常检测模型

论文提出了一个基于Windows系统调用序列检测的异常检测模型,并在原有的系统调用序列串算法的基础上引入了系统调用参数以及系统调用虚地址空间来对程序行为进行精确分析。     

基于数据取值规则的入侵检测技术

目前的入侵检测系统往往利用系统调用序列来设计,而忽略了系统调用序列所运行的数据环境,因此无法应对那些不改变系统调用序列的新型攻击.提出了一种新的入侵检测模型,它结合系统调用序列及其运行的数据环境来进行检测,通过学习系统调用序列的数据取值规则,增强模型的检测能力.实验结果表明,与现有模型相比,该方法具有检测效率高、误警率低及训练阶段时空开销小的优点.     

基于系统调用的Docker容器异常检测

随着虚拟化技术的爆炸式增长,Docker已占领了容器技术主流市场,但由于其轻量级的隔离方式导致安全问题频出.如阿里、京东、字节跳动等企业都开始采用Docker容器技术,容器安全与用户的财产安全紧密相关,而针对Docker容器安全的研究还存在较大欠缺,高效且安全的虚拟化解决方案需求也逐步增加.本文提出一种基于系统调用的Docker容器异常检测方案(Docker Anomaly Detection Based on System Call,DADBS),旨在通过分析系统调用序列,捕获容器运行时应用程序所发生的异常进程行为.DADBS通过跟踪容器内运行进程收集应用程序系统调用序列,结合系统调用级别及多级别TF-IDF量化评分筛选序列冗余信息,使用长短期记忆神经网络学习正常行为构建系统调用语言模型,最终采用余弦相似度偏差进行异常判断.经云环境下实验证明该模型在ADFA公开数据集上取得0.848的AUC值,且在Docker容器实际攻击场景都能够高效检测出进程异常行为.     

入侵检测系统探究

基于入侵检测系统的传统技术,分析并比较了统计模型、神经网络、数据挖掘和专家系统,提出了一种新型的基于安全状态信息库的入侵检测系统。通过建立系统安全状态数据库,在考虑入侵行为的同时,也考虑到受保护系统的防范能力;另外,通过建立可疑主机数据库,可对不同威胁级别的主机采用不同的检测和响应手段。     

基于构造性核覆盖算法的异常入侵检测

将构造性核覆盖算法引入入侵检测研究中,提出了一种基于构造性核覆盖的异常入侵检测算法,用于监控进程的非正常行为.首先分析了核覆盖分类算法应用于入侵检测的可能性,然后具体描述了核覆盖算法在异构数据集下的推广,提出了基于核覆盖的异常入侵检测模型.并以sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程.最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法.     

基于简化控制流监控的程序入侵检测

针对程序漏洞的攻击是目前一个非常严重的安全问题.该文提出了一个程序运行时候控制流监控的简化方法.与基于系统调用的入侵检测方法相比,该方法有更细的监控粒度;而与完全函数调用关系监控的方法相比,该方法同样有效但实施更为简单.测试结果表面该方法能够有效地针对已有的多种攻击类型进行防范.     

基于Petri网的入侵检测模型研究

随着计算机网络的广泛应用,非法的入侵与攻击行为不断发生,严重威胁着网络信息的安全,对入侵和攻击进行检测与防范已经成为刻不容缓的重要课题。讲述了Petri网(PN)和有色Petri网(CPN),通过将入侵分为“存在”,“顺序”,“偏序”三种类型,描述入侵检测系统(IDS)中的攻击模式用Petri网实现,并且给出了使用有色Petri网描述攻击模式。     

网络入侵检测方法研究

本论文从网络安全现状出发,介绍了入侵检测的原理和基本技术,随后就企业如何在已有网络的基础上建立一个可扩展的网络入侵检测系统以及整个方案的设计、实现作了相关阐述,同时强调了安全意识在网络安全中的重要性。     

基于数据挖掘的分布式入侵检测系统

简单介绍传统入侵检测系统,进而提出基于数据挖掘的分布式入侵检测系统模型,讨论了为了实现该模型所需要的数据挖掘技术.这些技术的应用,可以有效检测大规模协同攻击,提高分布式入侵检测系统的自适应性和可扩展性.