共查询到20条相似文献,搜索用时 15 毫秒
1.
Shellcode是缓冲区溢出漏洞攻击的核心代码部分,往往嵌入到文件和网络流量载体中。针对特征码匹配等检测手段存在时间滞后、准确率低等问题,结合人工免疫理论,提出一种采用实值编码的shellcode检测方法。收集shellcode样本并进行反汇编,利用n-gram模型对汇编指令序列提取特征生成抗原,作为免疫系统未成熟检测器来源,之后经历阴性选择算法的免疫耐受过程,生成成熟检测器。对检测器进行克隆和变异,繁衍出更加优良的后代,提高检测器的多样性和亲和度。实验结果表明,该方法对非编码shellcode和多态shellcode均具有较高的检测准确率。 相似文献
2.
3.
Yingbo Song Michael E. Locasto Angelos Stavrou Angelos D. Keromytis Salvatore J. Stolfo 《Machine Learning》2010,81(2):179-205
Current trends demonstrate an increasing use of polymorphism by attackers to disguise their exploits. The ability for malicious
code to be easily, and automatically, transformed into semantically equivalent variants frustrates attempts to construct simple,
easily verifiable representations for use in security sensors. In this paper, we present a quantitative analysis of the strengths
and limitations of shellcode polymorphism, and describe the impact that these techniques have in the context of learning-based
IDS systems. Our examination focuses on dual problems: shellcode encryption-based evasion methods and targeted “blending”
attacks. Both techniques are currently being used in the wild, allowing real exploits to evade IDS sensors. This paper provides
metrics to measure the effectiveness of modern polymorphic engines and provide insights into their designs. We describe methods
to evade statistics-based IDS sensors and present suggestions on how to defend against them. Our experimental results illustrate
that the challenge of modeling self-modifying shellcode by signature-based methods, and certain classes of statistical models,
is likely an intractable problem. 相似文献
4.
在当今信息化社会,网络入侵检测技术是信息安全保障领域的重点技术之一。随着大数据时代的到来,网络入侵检测技术正在向着多结构、多方法、多应用领域的方向发展。针对这个发展趋势,综述了网络入侵检测技术的最新研究情况,包括基本概念、系统模型、检测方法、应用领域等,其中重点分析了系统模型和检测算法的研究现状以及存在的问题,并提出发展趋势。同时,也介绍了大数据背景下网络入侵检测技术的新型应用领域。 相似文献
5.
6.
目前的入侵检测系统缺乏从先前所观察到的进攻进行概括并检测已知攻击的细微变化 的能力。描述了一种基于最小二乘估计(LS)模型的入侵检测算法,该算法利用神经网络的特点,具 有从先前观测到的行为进行概括进而判断将来可能发生的行为的能力。提出了一种在异常检测中用 反馈神经网络构建程序行为的特征轮廓的思想,给出了神经网络算法的选择和应用神经网络的设计 方案。实验表明在异常检测中利用反馈神经网络构建程序行为的特征轮廓,能够提高检测系统对偶 然事件和入侵变异的自适应性和异常检测的速度。 相似文献
7.
入侵检测技术是提高网络安全的重要手段之一,旨在利用分层神经网络解决入侵检测问题。针对入侵检测研究的通用审计数据集,首先将数据进行预处理以便运算;其次利用RBF网络实现粗检测;再次利用Elman BP网络进行细检测,从而实现分层神经网络的入侵检测;最后在MATLAB平台下进行仿真实验,仿真结果表明,分层神经网络结构在入侵检测中体现出良好的特性。 相似文献
8.
基于RBF网络的入侵检测技术 总被引:1,自引:1,他引:0
入侵检测技术作为提高网络安全的有效手段日益受到重视,在此旨在利用RBF网络解决入侵检测问题。针对入侵检测研究的通用审计数据集,首先将其所有字符串行式的元素转换为数值形式;为了提高RBF网络的逼近性能和运算速度,去除对输出无影响的输入项,并且将剩余输入项的可能取值转换到合理的范围内;最后在Matlab平台下进行仿真实验,并与BP网络进行了比较,仿真结果表明,RBF网络在入侵检测中体现出良好的特性。 相似文献
9.
10.
设计了一个基于数据挖掘技术的网络入侵检测系统模型。该模型在Snort入侵检测系统的基础上,利用数据挖掘技术增加了聚类分析模块、异常检测引擎和关联分析器。该系统不仅能够有效地检测到新的入侵行为,而且能提升检测的速度,在达到实时性要求的同时,解决了一般网络入侵检测系统对新的入侵行为无能为力的问题。 相似文献
11.
EmuSocket is a portable and flexible network emulator that can easily be configured to mimic the communication characteristics, in terms of bandwidth and delay, that occur with low-performance networks. The emulator works with Java applications by intercepting and perturbing application traffic at the socket API level. As traffic shaping takes place in the user-space by means of an instrumented socket implementation, using the toolkit does not require a modified interpreter. The way the emulator perturbs the communication preserves the TCP connection-oriented byte stream semantics. 相似文献
12.
朱守业 《计算机工程与应用》2009,45(18):123-125
提出基于Bagging算法集成BP神经网络的入侵检测方法。采用BP神经网络为分类器,以用户的网络连接行为为特征进行检测,为进一步提高BP神经网络的分类性能,采用Bagging算法对BP神经网络分类器进行加权投票。实验表明,提出的方法具有良好的检测性能。 相似文献
13.
14.
15.
通过分析当前运用较多的入侵检测模型的缺陷,提出了一种基于样条权函数神经网络的新型入侵检测系统模型。网络拓扑结构简单,网络训练所需要的神经元个数与样本个数无关。训练后的权函数由三次样条函数构成,而不是传统方法中的常数。该模型克服了传统入侵检测系统所存在的局部极小、收敛速度慢、初值敏感性等问题。 相似文献
16.
既有的基于数据挖掘技术的入侵检测将研究重点放在误用检测上。提出了基于数据挖掘技术的网络异常检测方案,并详细分析了核心模块的实现。首先使用静态关联规则挖掘算法和领域层面挖掘算法刻画系统的网络正常活动简档,然后通过动态关联规则挖掘算法和领域层面挖掘算法输出表征对系统攻击行为的可疑规则集,这些规则集结合从特征选择模块中提取网络行为特征作为分类器的输入,以进一步降低误报率。在由DAR-AP1998入侵检测评估数据集上的实验证明了该方法的有效性。最后,对数据挖掘技术在入侵检测领域中的既有研究工作做了,总结。 相似文献
17.
基于分布式智能代理的入侵检测方法研究 总被引:2,自引:1,他引:1
在分析和研究通用入侵检测框架理论和传统入侵检测系统实现策略的基础上,提出融合了滥用检测和异常检测两种方法的检测模型——基于分布式智能代理的网络入侵检测模型,并对检测引擎和检测算法进行了改进,使之具有更高的准确性和对潜在的入侵行为的识别和预测等智能化能力。 相似文献
18.
将免疫克隆策略用于网络结构的聚类中,能够得到克隆网络对数据进行合理的聚类分析。采用克隆网络对入侵检测数据进行学习,即用一个小规模网络来表示海量数据,完成数据的压缩表示。再利用图论中的最小生成树对克隆网络的结构进行聚类分析,从而获得描述正常行为和异常行为的数据特征,实现合理的聚类。该算法可实现对大规模无标识原始数据的入侵检测,区分正常和异常行为,并能检测到未知攻击。在KDD CUP99数据集中进行了对比仿真实验,实验结果表明:相对于以前的算法,该算法较大地提高了对已知攻击和未知攻击的入侵检测率,并降低了误警率。 相似文献
19.
基于自适应进化神经网络算法的入侵检测 总被引:1,自引:0,他引:1
针对目前多数入侵检测系统的低检测率问题,提出一种自适应进化神经网络算法AENNA。基于遗传算法和BP神经网络算法,利用模拟退火算法的概率突跳和局部搜索强的特性对遗传算法进行改进,采用双种群策略的遗传进化规则实现BP神经网络权值和结构的双重优化;通过对遗传算法的交叉算子与变异算子的改进,设计一种自适应的神经网络训练方法。实验结果表明,基于AENNA的入侵检测方法能够有效提高系统的检测率并降低误报率。 相似文献
20.
针对传统入侵检测算法存在的不足,提出了一种新的基于平均隶属度的网路入侵检测方法——AMID,并且给出了相应的算法。这种方法通过度量实时行为和正常行为的贴近程度来判断当前是否存在异常行为,理论基础夯实,判断过程简单易于实现。实验结果说明,该方法在降低系统误报率方面有较为明显的改进。 相似文献