基于系统调用的异常入侵检测研究

基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一。通过分析系统调用序列来判断入侵事件,具有准确性高、误警率低和稳定性好等优点,目前,国际上在这方面的研究主要集中在如何设计有效的检测算法以提高检测效果。该文对目前国际上基于系统调用的异常入侵检测方面的研究进展进行了总结,对主要的检测技术进行了详细讨论和分析。     

基于系统调用的入侵检测技术研究

如今网络攻击的多样性与低成本性以及攻击工具的齐全使得网络攻击日益泛滥。对于防御者来说,遭受一次攻击的损失是巨大的,防御和攻击的不对等使得防御方往往处于被动和弱势的地位。入侵检测技术通过模型学习勾勒网络入侵行为轮廓或正常行为轮廓,从而实现对入侵行为的识别与检测,实现对零日攻击的检测能力。本文是对基于系统调用数据上的入侵检测的综述性文章,重点介绍了系统调用数据的特征提取方法、入侵检测分类模型、应用场景,同时简单概括了系统调用的数据集与模型的评判标准。     

基于系统调用分类的异常检测

提出了一种新的基于规则的异常检测模型.把系统调用按照功能和危险程度进行了分类,该模型只是针对每类中关键调用(即危险级别为1的系统调用).在学习过程中,动态地处理每个关键调用,而不是对静态的数据进行数据挖掘或统计,从而可以实现增量学习.同时通过预定义,精炼规则,有效地减少了规则数据库中的规则数目,缩减了检测过程中规则的匹配时间.实验结果清楚地表明,检测模型可以有效侦测出R2L,R2R和L2R型攻击,而且检测出的异常行为将被限制在相应的请求内而不是整个系统调用迹.检测模型适合于针对特权进程(特别是基于请求--反应型的特权进程)的异常入侵检测.     

基于系统调用序列分析入侵检测的层次化模型

系统调用是操作系统和用户程序的接口,任何程序必须通过系统调用才能执行。近年来,网络安全事件频发,基于系统调用序列分析的入侵检测方法成为了网络安全研究的热点技术之一。本文提出了基于枚举序列、隐马尔科夫两种方法建立系统行为的层次化模型,不同于传统意义上的单层次模型。在新墨西哥大学提供的实验数据上,本方法在检测程序异常行为的准确度和响应时间方面都得到了很好的效果,表明该方法更适合基于主机入侵的在线检测方法。     

基于系统调用序列分析的入侵检测方法

提出了一种改进的基于系统调用序列分析的入侵检测方法,该方法对审计数据首先进行MLSI现象的检测,在发现MLSI之后,再与正常库进行匹配,以检测是否有入侵行为.理论分析和实验表明,MLSI能够有效地标识入侵,通过查找MLSI,再进行异常检测的方法可以大大地降低系统的开销,这些都说明该方法是有效和可行的.     

基于系统调用的入侵检测系统研究

入侵检测是网络安全研究的热点技术之一,是新一代安全保障方案。该文实现了一种基于系统调用的异常入侵检测方法,使用系统调用作为输入,构建程序中函数的有限状态自动机,利用该自动机检测进程流程是否发生异常来确定是否发生了入侵。实验结果表明,该技术不仅能有效地检测出入侵行为,而且可以发现程序漏洞的位置,便于修改代码。     

基于系统调用参数的入侵检测方法

基于系统调用序列的入侵检测系统没有考虑所有的系统调用特性,导致一些新型的攻击行为通过伪装能绕过基于系统调用序列的入侵检测系统的检测。针对上述攻击行为,提出一种基于系统调用参数的入侵检测系统模型。实验结果表明,该系统对伪装的系统调用有很高的检测率。     

基于系统调用的入侵检测新方法*

通过分析系统调用行为特征,提出了程序的系统调用行为可以用有限状态自动机来描述的方法,证明了算法产生的自动机的完整性,并给出算法性能分析结果。     

基于系统调用监控的Linux入侵检测模型设计

入侵检测系统在计算机安全中有着重要的作用,该文介绍了在Linux系统下基于系统调用监控的入侵检测思想和相应模型的设计。     

一种改进的基于系统调用的入侵检测技术

随着恶意入侵计算机现象的日益严重 ,准确检测入侵的需求应运而生 .本文提出一种基于系统调用的入侵检测方法—— SGNN算法 .该算法解决了传统基于系统调用入侵检测方法的缺陷 ,不仅去除了降低检测效率的规则 ,同时能有效识别用户的误操作 .实验结果体现了该方法的有效性和检测的高效性     

一种基于HMM和遗传算法的伪装入侵检测方法

针对目前伪装入侵检测算法在确定序列的滑动窗口长度中存在的主要问题,以及使得检测阈值的计算更加容易、精确,本文提出了一个新的伪装入侵检测算法-MDAA,它使用HMM（Hidden Markov Model）模型表示正常用户行为,通过计算模型的条件熵确定滑动窗口长度.实现了滑动窗口长度随不同的用户模型而自动变化,达到自适应参数调整的目的.采用遗传算法计算子序列相对用户模型的最大和最小似然值,从而将滑动窗口分割到的子序列转换成便于决策的量.在一个真实的伪装检测数据集上进行了实验,结果表明该方法能得到较好的性能,并且更能适应不同用户的伪装检测.     

基于隐马尔可夫的系统入侵检测方法

针对入侵检测中普遍存在误报与漏报过高的问题,本文提出一种新的基于隐马尔可夫模型的系统入侵检测方法。该方法以程序正常执行过程中产生的系统调用序列为研究对象,首先建立计算机运行状况的隐马尔可夫模型,然后在此模型的基础上提出一个用于计算机系统实时异常检测的算法。实验证明,用这种方法建模的系统在不影响检测率的情况下,比传统的数据建设模节省存储空间,并且准确率高。     

基于隐马尔可夫模型的入侵检测系统

首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。     

基于扩展的HMM观察序列概率计算

HMM在自然语言处理领域占有很重要的地位.通常可以解决三大问题,主要针对第一个问题:给定HMM,计算观察序列的概率.提出了一种HMM的扩展模型,利用该扩展模型,计算观察序列概率的时间复杂度为T,大大节约了开支.但该模型也存在一定的不足之处,也是以后的研究方向.     

基于规则的多模型集成化异常入侵检测系统

在讨论相关技术的基础上,提出一种多模型集成的入侵检测系统,然后运用不同的模型和方法,构建系统的正常行为,并将其使用基于规则的方法集成,实验证明系统的检测率得到提高的同时,大大降低了误警率.     

一种基于免疫学理论的入侵检测系统

描述了一种基于免疫学理论的入侵检测系统的体系结构,简要说明了系统的特点,介绍了免疫检测器的生成模型和生命周期。     

一个基于改进的HMM的人脸语音动画合成系统

利用HMM的统计特性，对HMM模型结构进行改动，使其成为人脸语音动画合成中语音特征到图像特征的映射模型。通过一些必要的前期处理，就可以根据训练样本建立特定说话对象的HMM。使用该模型，加上一些必要的后期处理工作，就可以通过输入的语音信号合成语种无关的、平滑的、并富有真实感的人脸语音动画。     

一种基于网络处理器的入侵检测系统

针对目前入侵检测系统的处理速率远远不能满足网络的高速发展,通过对现有IDS的体系结构和算法进行重新设计,提出了一种新的网络入侵检测体系结构。新的体系结构采用网络处理器在网络底层实现数据的采集与分析,提高了IDS的运行速度和效率,能较好地适应高速网络环境下的入侵检测。     

入侵检测系统中特征匹配的改进

有效的入侵检测是保证系统安全所必不可少的。特征匹配是现有入侵检测系统所使用的基本方法。网络的高速发展,现有的特征匹配方法已成了高速网络环境下入侵检测的瓶颈。文章论述了通过在现有匹配方法的基础上引入协议分析的多层次入侵检测匹配,能减小目标匹配范围,提高系统检测效率。     

基于HMM与SVM的语音活动检测

工程机械强噪音环境下的噪声源较多,导致电话语音通话无法进行,且强噪声造成无效数据占用带宽。为此,提出基于隐马尔科夫模型(HMM)和支持向量机(SVM)的语音活动检测算法。该算法将提取的美尔频率倒谱系数特征向量输入到HMM识别器中,并通过Viterbi算法得到N维最佳识别结果,将其转换为SVM特征向量输入到SVM分类器中进行分类判别,得到判决结果。实验结果表明,该算法在机械工作噪音的情况下,语音检测率较静态统计类算法平均提高9%,比小波支持向量机方法提高11%,在驾驶室噪音的情况下比小波SVM方法有较小幅度的提高,但其增长速度较快,且比传统的统计类算法提高9%。