基于系统调用的异常入侵检测研究

基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一。通过分析系统调用序列来判断入侵事件,具有准确性高、误警率低和稳定性好等优点,目前,国际上在这方面的研究主要集中在如何设计有效的检测算法以提高检测效果。该文对目前国际上基于系统调用的异常入侵检测方面的研究进展进行了总结,对主要的检测技术进行了详细讨论和分析。     

基于系统调用的入侵检测技术研究

如今网络攻击的多样性与低成本性以及攻击工具的齐全使得网络攻击日益泛滥。对于防御者来说,遭受一次攻击的损失是巨大的,防御和攻击的不对等使得防御方往往处于被动和弱势的地位。入侵检测技术通过模型学习勾勒网络入侵行为轮廓或正常行为轮廓,从而实现对入侵行为的识别与检测,实现对零日攻击的检测能力。本文是对基于系统调用数据上的入侵检测的综述性文章,重点介绍了系统调用数据的特征提取方法、入侵检测分类模型、应用场景,同时简单概括了系统调用的数据集与模型的评判标准。     

基于系统调用分类的异常检测

提出了一种新的基于规则的异常检测模型.把系统调用按照功能和危险程度进行了分类,该模型只是针对每类中关键调用(即危险级别为1的系统调用).在学习过程中,动态地处理每个关键调用,而不是对静态的数据进行数据挖掘或统计,从而可以实现增量学习.同时通过预定义,精炼规则,有效地减少了规则数据库中的规则数目,缩减了检测过程中规则的匹配时间.实验结果清楚地表明,检测模型可以有效侦测出R2L,R2R和L2R型攻击,而且检测出的异常行为将被限制在相应的请求内而不是整个系统调用迹.检测模型适合于针对特权进程(特别是基于请求--反应型的特权进程)的异常入侵检测.     

基于系统调用序列分析入侵检测的层次化模型

系统调用是操作系统和用户程序的接口,任何程序必须通过系统调用才能执行。近年来,网络安全事件频发,基于系统调用序列分析的入侵检测方法成为了网络安全研究的热点技术之一。本文提出了基于枚举序列、隐马尔科夫两种方法建立系统行为的层次化模型,不同于传统意义上的单层次模型。在新墨西哥大学提供的实验数据上,本方法在检测程序异常行为的准确度和响应时间方面都得到了很好的效果,表明该方法更适合基于主机入侵的在线检测方法。     

基于系统调用序列分析的入侵检测方法

提出了一种改进的基于系统调用序列分析的入侵检测方法,该方法对审计数据首先进行MLSI现象的检测,在发现MLSI之后,再与正常库进行匹配,以检测是否有入侵行为.理论分析和实验表明,MLSI能够有效地标识入侵,通过查找MLSI,再进行异常检测的方法可以大大地降低系统的开销,这些都说明该方法是有效和可行的.     

基于系统调用的入侵检测新方法

通过分析系统调用行为特征,提出了程序的系统调用行为可以用有限状态自动机来描述的方法,证明了算法产生的自动机的完整性,并给出算法性能分析结果。     

基于系统调用的入侵检测系统研究

入侵检测是网络安全研究的热点技术之一,是新一代安全保障方案。该文实现了一种基于系统调用的异常入侵检测方法,使用系统调用作为输入,构建程序中函数的有限状态自动机,利用该自动机检测进程流程是否发生异常来确定是否发生了入侵。实验结果表明,该技术不仅能有效地检测出入侵行为,而且可以发现程序漏洞的位置,便于修改代码。     

基于系统调用参数的入侵检测方法

基于系统调用序列的入侵检测系统没有考虑所有的系统调用特性,导致一些新型的攻击行为通过伪装能绕过基于系统调用序列的入侵检测系统的检测。针对上述攻击行为,提出一种基于系统调用参数的入侵检测系统模型。实验结果表明,该系统对伪装的系统调用有很高的检测率。     

一种改进的基于系统调用的入侵检测技术

随着恶意入侵计算机现象的日益严重 ,准确检测入侵的需求应运而生 .本文提出一种基于系统调用的入侵检测方法—— SGNN算法 .该算法解决了传统基于系统调用入侵检测方法的缺陷 ,不仅去除了降低检测效率的规则 ,同时能有效识别用户的误操作 .实验结果体现了该方法的有效性和检测的高效性     

基于系统调用的异常入侵检测

监视程序行为是近年基于主机的异常入侵检测的研究热点,构建程序行为模型是进行异常检测的关键。该文根据构建程序行为模型时,从系统调用抽取的信息和异常检测中使用的系统调用序列的粒度以及异常检测器记录的信息,分析和比较了基于程序行为的异常检测技术,并对该项研究作了展望。     

一种基于HMM和遗传算法的伪装入侵检测方法

针对目前伪装入侵检测算法在确定序列的滑动窗口长度中存在的主要问题,以及使得检测阈值的计算更加容易、精确,本文提出了一个新的伪装入侵检测算法-MDAA,它使用HMM（Hidden Markov Model）模型表示正常用户行为,通过计算模型的条件熵确定滑动窗口长度.实现了滑动窗口长度随不同的用户模型而自动变化,达到自适应参数调整的目的.采用遗传算法计算子序列相对用户模型的最大和最小似然值,从而将滑动窗口分割到的子序列转换成便于决策的量.在一个真实的伪装检测数据集上进行了实验,结果表明该方法能得到较好的性能,并且更能适应不同用户的伪装检测.     

基于隐马尔可夫的系统入侵检测方法

针对入侵检测中普遍存在误报与漏报过高的问题,本文提出一种新的基于隐马尔可夫模型的系统入侵检测方法。该方法以程序正常执行过程中产生的系统调用序列为研究对象,首先建立计算机运行状况的隐马尔可夫模型,然后在此模型的基础上提出一个用于计算机系统实时异常检测的算法。实验证明,用这种方法建模的系统在不影响检测率的情况下,比传统的数据建设模节省存储空间,并且准确率高。     

基于隐马尔可夫模型的入侵检测系统

首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。     

基于扩展的HMM观察序列概率计算

HMM在自然语言处理领域占有很重要的地位.通常可以解决三大问题,主要针对第一个问题:给定HMM,计算观察序列的概率.提出了一种HMM的扩展模型,利用该扩展模型,计算观察序列概率的时间复杂度为T,大大节约了开支.但该模型也存在一定的不足之处,也是以后的研究方向.     

基于HMM和STIDE的异常入侵检测方法

入侵检测是对正在发生或已经发生的入侵行为的一种识别过程。异常检测是入侵检测的主要分析方法之一。该文在传统的使用单一入侵检测算法的基础上,提出一种基于HMM和STIDE复合算法的异常入侵检测方法。HMM和STIDE复合算法被用来区分未知的行为是合法操作还是一次入侵。实验证明该方法具有低虚警率和高检测率。     

多协议交叉的HMM协议异常检测算法

随着网络攻击的不断多样化,现有的协议异常检测工作在准确率和实时性方面面临新的挑战。针对目前的协议异常检测方法只面向单一协议的恶意攻击而未考虑协议之间的关联,提出一种基于HMM的协议异常交叉检测算法。使用多个协议的语义关键词和时间标记来构造报文序列作为模型的训练集,提出协议报文语义合并算法并结合Baum-Welch算法构建多协议交叉的HMM,在序列化协议报文的同时收集子序列重复数来进一步校验HMM对存在大量循环操作的攻击行为的检测。通过在视频监控网络中进行仿真实验,证明该检测算法同现有的HMM异常检测方法相比,可以更准确地检测多种恶意攻击,同时具有一定的通用性。     

基于规则的多模型集成化异常入侵检测系统

在讨论相关技术的基础上,提出一种多模型集成的入侵检测系统,然后运用不同的模型和方法,构建系统的正常行为,并将其使用基于规则的方法集成,实验证明系统的检测率得到提高的同时,大大降低了误警率.