系统调用序列的Markov模型及其在异常检测中的应用

建立了计算机系统中系统调用序列的Markov模型，并在此模型的基础上提出了一种用于计算机异常检测的方法，文章利用统计方法分析进程中系统调用的发生情况，定义了一个依赖于状态转移概率的失配因子，并用它来计算失配率，由此判断被监视进程进行的操作是正常行为还是异常行为，文章还提出了一种基于遗忘因子的状态转移概率的更新算法。     

基于系统调用序列的程序异常行为检测

讨论了现有方法的缺点,提出了一种基于系统调用序列的检测程序异常行为的新方法,并与其他方法进行了对比和实验。     

基于系统调用分类的异常检测

提出了一种新的基于规则的异常检测模型.把系统调用按照功能和危险程度进行了分类,该模型只是针对每类中关键调用(即危险级别为1的系统调用).在学习过程中,动态地处理每个关键调用,而不是对静态的数据进行数据挖掘或统计,从而可以实现增量学习.同时通过预定义,精炼规则,有效地减少了规则数据库中的规则数目,缩减了检测过程中规则的匹配时间.实验结果清楚地表明,检测模型可以有效侦测出R2L,R2R和L2R型攻击,而且检测出的异常行为将被限制在相应的请求内而不是整个系统调用迹.检测模型适合于针对特权进程(特别是基于请求--反应型的特权进程)的异常入侵检测.     

系统调用异常检测模型研究

应用程序系统调用的执行序列可以体现出应用程序运行的行为特征,因此通过检测系统调用可以进行异常检测。针对已有算法模式库规模比较大的不足,提出了一种基于遗传算法的系统调用异常检测方法。首先用滑动窗口将系统调用序列划分成长度固定的短序列,然后用遗传算法对系统调用短序列进行学习,建立模式库,用单模式不完全匹配方法对测试数据进行检测。实验表明该方法达到了较好的检测效果。     

一种基于系统调用序列的异常检测模型

在利用相对差异度和差异密度表征实时系统调用序列与正常序列偏差的基础上,提出了一种新的检测实时序列异常与否的方法。试验表明该方法简单易操作,并能保证较高的检测率。     

基于粗糙集约简的进程系统调用序列异常检测方法研究

提出了一种基于粗糙集约简的系统调用序列异常检测方法，其基本思想是利用粗糙集约简来对第k个系统调用位置进行预测，把前k-1个位置视为条件属性集，第k个位置视为决策属性，通过Rough集约简方法得到一组预测第k个系统调用位置的最小规则集，进而可用于对实际进程的异常检测。基于合成的UNM sendmail系统调用数据的实验结果表明，本文所提出的异常检测算法性能好于Forrest等人的tide方法，与Wenke Lee等人的数据挖掘算法检测精度相当。但在选择较大的阈值时，漏报率更低。     

基于系统调用的异常入侵检测

监视程序行为是近年基于主机的异常入侵检测的研究热点,构建程序行为模型是进行异常检测的关键。该文根据构建程序行为模型时,从系统调用抽取的信息和异常检测中使用的系统调用序列的粒度以及异常检测器记录的信息,分析和比较了基于程序行为的异常检测技术,并对该项研究作了展望。     

一种用于异常检测的系统调用参数及序列分析算法

本文基于异常检测技术及相关理论,提出了一种综合系统调用参数及调用序列的异常检测算法,该算法通过系统调用参数和序列构建具备更多特征信息的正常行为签名,从而提高入侵检测系统的检测效率及检测准度。     

基于系统调用序列的转移概率方法在入侵检测中的应用

Stephaine Forrest等提出进程行为可由系统调用短序列表征。本文介绍了马尔可夫链的状态转移概率原理,基于转移概率给出了系统调用与进程正常行为的相关性度量,以此来检测进程异常行为。试验结果表明,此方法可行。     

基于HMM的系统调用序列异常入侵检测

本文首先介绍了入侵检测的发展状况,接着用马尔可夫和BW算法进行建模;然后以系统调用执行迹这类常用的入侵检测数据为例,验证该模型的工作效果,最后将计算机仿真结果与其他检测方法进行了比较。通过实验和比较发现,基于HMM的系统调用序列的异常检测率比其他方法有明显的提高。     

一种基于最大熵原理系统异常检测模型研究

大多数基于系统调用序列分析的系统异常检测方法在对系统调用序列裁减和特征提取过程中没有客观评估特征表述进程行为的能力,其结果造成了许多误警、漏警问题,影响了检测性能.提出了一种基于最大熵原理的系统异常检测模型,通过计算互信息量和Z测试实现特征提取,通过构建最大熵模型实现特征评估与检测分类器.通过改进Bloom Filter算法实现高效的特征查找或匹配.较好的改善了系统异常检测的性能,对比实验结果证明,该检测模型能够以较高的精确度及时的检测出异常攻击行为.     

一种在线实时微服务调用链异常检测方法

微服务架构逐渐成为大规模云应用的主流设计架构,微服务可靠性是云服务商亟须处理的关键问题。精确检测并定位微服务应用故障可有效保障应用的可靠性与稳定性,基于微服务调用链的异常检测可在系统发生故障时及时发现系统异常行为并触发告警。针对当前主流检测方法无法保证异常告警的实时性和准确性问题,提出一种基于自然语言处理与双向长短期记忆(BiLSTM)网络的微服务调用链异常检测方法 MicroTrace。对调用链中记录的事件进行解析,将事件表示为语义序列与响应时间序列,利用词汇嵌入式表示算法提取事件的向量化表示,通过基于注意力机制的BiLSTM同时检测微服务实例的调用路径与性能异常。在真实微服务调用链数据集上的实验结果表明,该方法的查准率和查全率均可达96%以上,F1度量值相比于多模态-LSTM方法至少提升了6.8%。     

基于数值序列分析的容侵异常检测算法

面向入侵容忍的入侵检测是网络安全最前沿的研究热点之一．受容侵服务对象本身固有缺陷及系统噪声数据的干扰，传统异常检测算法在容侵系统中检测入侵的准确度不高且耗时较长，影响了容侵系统性能，不再适用．在分析容侵系统特性和现有异常检测方法的基础上，结合数据抗噪思想，提出了一种基于数值序列统计分析的容侵异常检测算法．理论上对算法时间复杂度的分析和真实数据集上的实验结果均表明该算法是可行高效的．     

基于动态行为和特征模式的异常检测模型

该文针对现有的异常检测方法大多只关注系统调用出现的频率或者局部变化的情况,提出了一种将动态行为和全局特征结合起来的检测模型（DBCPIDS）．文章针对满足支持度要求的系统调用短序列,给出了特征模式的概念,并以此为基础提出了基于改进的隐马尔科夫方法（IHMM）．当利用该模型进行检测时,首先用程序轨迹匹配特征模式,如果不匹配再用IHMM进行检测,从而使得该检测模型充分利用了程序正常运行的全局特征和程序运行期间的局部变化．通过实验表明,利用该模型进行异常检测,具有很高的检测率和较低的误报率．     

一种优化的蛋白质序列模式挖掘方法

蛋白质序列作为生物序列数据一个重要组成部分,对其的分析研究已经成为生物信息学中的一个重要的研究方向和内容.通过对序列进行模式挖掘,可以对蛋白质序列或某一蛋白质家族序列进行研究,因此蛋白质序列的模式挖掘已经成为蛋白质序列研究中的一项重要任务.MBioPM是一种最新的生物序列模式挖掘算法,该算法通过引入模式划分概念,提高算法的效率,但该算法在效率方面仍存在不足,而且挖掘结果存在冗余性的问题.因此,提出一种优化算法BioPMMH,通过带有模式划分特点的Hash链表结构来优化算法中的搜索空间及策略,并在算法过程中对重复模式进行过滤.实验表明,算法BioPMMH能有效提高模式挖掘的效率,并解决结果的冗余性问题.     

基于系统调用序列学习的内核模糊测试

操作系统内核是计算机系统中最基本的软件组件, 它控制和管理计算机硬件资源, 并提供访问和管理其他应用程序所需的接口和服务. 操作系统内核的安全性直接影响整个计算机系统的稳定性和可靠性. 内核模糊测试是一种高效、准确的安全漏洞检测方法. 然而目前内核模糊测试工作中, 存在系统调用间关系的计算开销过大且容易误判, 以及系统调用序列构造方式缺乏合理能量分配以至于很难探索低频系统调用的问题. 本文提出以N-gram模型学习系统调用间关系, 根据系统调用的出现频次信息和TF-IDF信息优先探索出现频次低或者TF-IDF值高的系统调用. 我们以极低的开销, 在Linux 4.19和5.19版本的24 h实验中分别提升了15.8%、14.7%的覆盖率. 此外, 我们挖掘到了一个已知CVE (CVE-2022-3524)、8个新崩溃, 其中一个获得了CNNVD编号(CNNVD-2023-84723975).     

基于系统调用的异常入侵检测研究

基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一。通过分析系统调用序列来判断入侵事件,具有准确性高、误警率低和稳定性好等优点,目前,国际上在这方面的研究主要集中在如何设计有效的检测算法以提高检测效果。该文对目前国际上基于系统调用的异常入侵检测方面的研究进展进行了总结,对主要的检测技术进行了详细讨论和分析。     

基于Improved-HMM的进程行为异常检测

针对传统隐马尔可夫模型(HMM)状态转移概率仅与前一状态有关的不足,提出了一种改进的隐马尔可夫模型(Im-proved-HMM),该模型考虑到状态转移概率与前两时刻状态相关,旨在提高异常检测准确率。用基于Improved-HMM的Baum-Welch(BW)算法对正常进程行为进行建模,并采用滑动窗口的方法,检测进程行为是否处于异常状态。实验结果表明,该模型的检测准确率高于传统的HMM模型,能及时、准确检测到进程行为的异常。