基于Windows Native API序列的系统行为入侵检测

针对Windows系统入侵检测的不足,研究并借鉴Linux下基于系统调用序列进行入侵检测的方法,提出一种采用BP神经网络算法对Windows Native API序列学习和分类的内核级主机入侵检测方案。通过实验,验证了采用Windows Native API序列进行系统入侵的可行性。Native API是Windows系统内核模式下的API,可以类比于Linux下的系统调用。通过训练神经网络学习Native API序列,建立一个对正常和异常Native API序列进行分类的BP神经网络。在入侵检测时,利用训练后的神经网络对不断出现的Windows Native API 序列进行分类,判断系统是否出现异常入侵。     

基于贝叶斯树的主机异常检测

主要研究Windows平台下异常检测方法,提出了一种利用Windows Native API调用序列和基于贝叶斯树算法的主机服务进程规则和对应概率分布的生成算法,并建立正常模型.根据长为N-1的Windows Native APIs调用序列预测第N个调用的概率分布,对生成的概率序列用U检验方法作为异常检测算法.实验结果...     

一种基于图的异常入侵检测新算法

根据主机系统异常入侵过程中Windows native API序列的瞬时高频性,提出一种基于图的异常入侵检测算法。该算法首先将每个Native API映射成为图中的一个点,并以其为起点的子序列作为该点的路径、Native API的前后调用关系为边;其次,对图中每个点记录各自的路径,在这些点的路径中找到若干个圈,圈定义为因对同一个Native API重复调用而在图中出现的回路;然后,对组成圈的所有边权值根据一定规则更新;最后利用图的边与其邻边权值差计算出异常指数,判断该序列是否异常。实验结果表明该算法在Windows平台下能实时有效地检测出异常入侵和病毒的Native API序列。     

基于决策树算法的API误用检测

通过应用程序编程接口(Application Programming Interface, API)复用已有的软件框架或类库,可有效地提高软件开发效率。然而,正确使用API须遵守很多规约,如调用顺序、异常处理等。若违反了这些规约就会造成API误用,进而可能导致软件崩溃、产生错误或漏洞。尽管很多API误用检测技术已经被提出,但是这些技术仍面临两个方面的挑战：1)难以获取API使用规约;2)难以同时检测多种不同类型的API误用。为了应对上述挑战,提出了一种基于决策树算法的API误用检测方法。首先,将API使用源代码转换为API使用图,从图中挖掘API使用规约,有效地应对了第一个挑战。其次,在获取的API规约信息的基础上构建API使用决策树,并通过融入剪枝策略来提高API使用决策树的泛化能力。最后,在检测阶段提出了粗粒度和细粒度相结合的检测方式,来提高API使用决策树的检测能力,有效地应对了第二个挑战。实验结果表明,该方法能够在一定程度上发现API误用缺陷。     

利用服务进程和Native API实现直接端口输入输出

分析了Windows操作系统的I/O保护机制,实现了一种普通用户的程序直接进行I/O端口输入/输出的方法。该方法通过创建服务进程启动应用程序,使普通的应用程序以SYSTEM用户身份运行,在此基础上,调用Windows的Native API函数调整进程的IOPL,使得用户进程拥有直接执行in、out特权指令的权限,从而实现了直接端口输入输出功能。     

基于VB调用Windows API函数的参数传递研究

在讨论了VB的参数传值与传址的区别以及VB过程调用和DLL过程调用的机理的基础上,重点阐述了VB调用WindowsAPI时的整型参数、指向整型数的指针、大整数、货币型参数、用户自定义型参数、数组、变体变量、字符串以及其它特殊型参数传递的规则.     

VB调用Windows API函数的方法

本文介绍了在 Ｖｉｓｕａｌ Ｂａｓｉｃ中利用动态连接函数库调用 Ｗｉｎｄｏｗｓ ＡＰＩ函数的方法,并通过实例介绍了部分 ＡＰＩ函数的功能。     

VBPRO3.0调用Windows的API函数

Microsoft Visual BASIC PRO 3.0(下称VBPRO)是美国微软公司于1993年4月推出的Windows环境下的应用程序开发工具,从1991年推出1.0版本以来,每年均获得美国Byte杂志的优秀软件奖。VBPRO的推出使得那些已心灰意冷的Windows程序设计人员又重新燃起了希望之火,可以说,不需要Microsoft SDK(或DDK)工具也能写出极其漂亮而简洁的Windows应用程序。但遗憾的是,VB PRO 3.0未提供类似GWBASIC的PLAY音乐演奏语句和未提供类似Windows式的联机帮助系统,这给VBPRO的应用程序开发者带来了不便。本文据此利用Windows操作系统提供的API     

基于访问控制的主机异常入侵检测模型*

结合访问控制和入侵检测各自的优势,在以访问控制为系统正常访问参考模式的条件下,提出了基于访问控制的主机异常入侵检测模型——ACBIDS。根据系统调用函数间的约束关系构建基于扩展有向无环图（DAG）的系统调用活动关联图,构建活动关联图的偏离函数,用于计算实际系统调用序列与活动关联图的匹配程度,以达到入侵检测的目的。实验结果表明,ACBIDS相对于传统的入侵检测具有较低的漏报率和误报率,并具有较高的运行效率。     

基于Windows 2000的异常入侵检测主机特征研究

异常检测很重要的一步就是输入数据的提取,本文设计了18项Windows2000环境下的主机特征,并且实现了特征数据提取,可以为异常检测的各种智能方法提供训练数据和实时的检测数据。     

一种用于异常检测的系统调用参数及序列分析算法

本文基于异常检测技术及相关理论,提出了一种综合系统调用参数及调用序列的异常检测算法,该算法通过系统调用参数和序列构建具备更多特征信息的正常行为签名,从而提高入侵检测系统的检测效率及检测准度。     

面向Windows Native API调用的入侵防御模型

为了提高基于Windows操作系统的入侵防御系统的检测效率、实时性和智能性,引入嵌入式汇编语言来简化对Windows Native API的监控,将数据集划分为一组基本相对独立的变长序列模式,利用粗糙集理论对每种长度的序列集进行简约,建立了较小规模的Native API短序列的防御模型,并应用于sendmail调用序列检测。实验结果表明,模型的检测率达到96.08%,误报率降低到1.93%。与其他检测模型的比较结果表明,模型在检测率、实时性和智能性方面有更优的性能。     

模型决策树:一种决策树加速算法

决策树算法采用递归方法构建,训练效率较低,过度分类的决策树可能产生过拟合现象.因此,文中提出模型决策树算法.首先在训练数据集上采用基尼指数递归生成一棵不完全决策树,然后使用一个简单分类模型对其中的非纯伪叶结点(非叶结点且结点包含的样本不属于同一类)进行分类,生成最终的决策树.相比原始的决策树算法,这样产生的模型决策树能在算法精度不损失或损失很小的情况下,提高决策树的训练效率.在标准数据集上的实验表明,文中提出的模型决策树在速度上明显优于决策树算法,具备一定的抗过拟合能力.     

决策树、朴素贝叶斯和朴素贝叶斯树的比较

利用数据挖掘工具Weka,在常态数据集adult上进行实验,从时间、正确率、误差率三个指标对比分析J48（C4．5决策树）,朴素贝叶斯分类器,朴素贝叶斯树（NBTree）三种分类算法．结论为：在内存充足,时间要求不高的情况下,使用朴素贝叶斯树（NBTree）能获得更高的正确率和错误率;J48则是一种折中的方案;朴素贝叶斯分类器完成时间最短,但正确率和错误率为三种算法中最差．     

一种Windows主机入侵检测实验系统

针对广泛使用的Windows平台,建立了一个基于主机的入侵检测实验系统。在深入分析Windows主机的安全特性的基础上,利用安全日志、系统日志、性能日志及文件完整性校验、注册表等多种信息,提出了18项入侵检测特征,并利用支持向量机建立入侵检测器,实现了对多种攻击的检测。实验结果表明,特征选取合理、检测方法有效。     

决策树算法的改进

决策树算法是数据挖掘中非常活跃的研究领域。通过对数据挖掘中决策树的基本思想进行阐述,讨论了决策树经典算法(ID3算法)的计算复杂度问题,并针对这一问题提出了利用统计理论知识和条件概率的思想来改进构造决策树的算法。实验表明,这种构造决策树算法的计算复杂度明显优于传统的算法,其效率也有很大的提高。     

基于流分解的异常检测算法

通过研究网络异常检测,提出了一种基于流分解消除网络噪声的异常检测算法。该算法从高维、非平稳流量中分离出包含异常的随机部分,通过计算随机部分参数的边缘分布和残差,揭示了流量异常对随机部分参数的影响,并提出判断网络流量异常的参数标准。实验表明,由于不必将整个时间序列进行分片和单独拟合,算法可以直接处理非稳态流量数据,实现了真正意义上的网络异常检测功能。     

基于欧氏距离的支持向量机决策树构造方法

SVM决策树是解决多分类问题的有效方法之一,由于分类器组合策略不同,构成的决策树构型以及分类精确度也各有差异。提出基于欧氏距离的SVM决策树构造方法,通过两种欧氏距离组合策略,生成不同构型的SVM决策树。实验结果表明,采用组合策略二的SVM决策树分类器相比组合策略一,具有更高的分类精度和更短的训练及测试时间。