基于改进隐马尔可夫模型的系统调用异常检测

针对隐马尔可夫模型计算开销过高的问题,提出了一种新的基于隐马尔可夫模型(Hidden Markov model,HMM)的异常检测方法,利用系统调用执行迹具有的局部规律性,用改进的HMM(Improved HMM,IHMM)学习算法来构建程序正常行为模型.在检测时,首先对待测系统调用数据用滑动窗口划分,并通过正常行为模型来判定异常,根据异常短序列占所有短序列的百分比来判断该进程是否行为异常.实验结果显示该方法训练耗时仅为传统方法的1%.当阈值在一个较大范围内变化时,模型的检测性能始终保持稳定.表明本文方法通过避免对大量相同短序列的重复计算,显著减少了训练时间和计算开销,在实际应用中具有良好的可操作性.     

一个两层马尔可夫链异常入侵检测模型

在现有的单层马尔科夫链异常检测模型基础上,提出一种崭新的两层模型.将性质上有较大差异的两个过程,不同的请求和同一请求内的系统调用序列,分为两层,分别用不同的马尔可夫链来处理.两层结构可以更准确地刻画被保护服务进程的动态行为,因而能较大地提高异常的识别率,降低误警报率.而且异常检测出的异常将被限制在相应的异常真正发生的请求区内.检测模型适合于针对特权进程(特别是基于请求?反应型的特权进程)的异常入侵检测.     

计算机系统入侵检测的隐马尔可夫模型

入侵检测技术作为计算机安全技术的一个重要组成部分，现在受到越来越广泛的关注，首先建立了一个计算机系统运行状况的隐马尔可夫模型（HMM），然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法，以及该模型的训练算法。这个算法的优点是准确率高，算法简单，占用的存储空间很小，适合用于在计算机系统上进行实时检测。     

基于模糊滑窗隐马尔可夫模型的入侵检测研究

针对传统基于隐马尔可夫模型（HMM）入侵检测中普遍存在误报与漏报过高的问题,提出了一种基于模糊窗口隐马尔可夫模型（FWHMM）的入侵检测新方法。该方法通过运用状态转移依赖滑窗的设置提高了系统的检测精度,通过将状态的随机转移转变为模糊随机转移,提高了系统的鲁棒性和自适应性。实验结果表明,使用本文方法的检测效果要明显优于基于经典HMM的方法。     

基于隐马尔可夫模型的入侵检测系统

首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。     

集成化的异常入侵检测系统

提出了一种多方法集成的异常入侵检测系统,运用隐马尔可夫模型、统计方法和基于规则的方法,测量系统调用序列、资源使用率、文件访问权限的正常行为,并将其集成,实验表明此系统具有很好的性能。     

基于隐马尔可夫模型的网络入侵检测方法

介绍了基于隐马尔可夫模型的网络入侵检测系统的检测方法,并且建立了两个隐马尔可夫模型,通过对数据包的分析,得出系统的检测结果.实验数据表明,该方法能有效地提高异常检测效率,对入侵检测具有重要价值.     

基于两层隐马尔可夫模型的入侵检测方法*

在基于系统调用的入侵检测研究中,如何提取系统调用序列模式是一个重要问题.提出一种利用进程堆栈中的函数返回地址链信息来提取不定长模式的方法.同王福宏的不定长模式提取方法相比,该方法可以取得更完备的模式集.在此基础上,基于系统调用序列及其对应的不定长模式序列构建了一个两层隐马尔可夫模型来检测异常行为,与仅利用系统调用序列信息的经典隐马尔可夫方法相比,该方法可以取得更低的误报率和漏报率.     

基于线性表示的协同入侵检测模型

针对现有入侵检测算法误报率较高和鲁棒性较差的问题,提出一种基于线性表示的协同入侵检测模型,按照网络协议产生3类基于K-均值聚类算法的检测代理,以协同的方式对其相应网络数据做出决策。实验对比结果表明,该协同模型具有较高的检测率和较低的误警率。     

基于隐马尔可夫模型的入侵场景构建

提出了一种基于隐马尔可夫模型的入侵场景构建方法,实现自动地从大量低级的入侵检测告警信息中构建出更高层次的入侵场景的目的。为了简化处理过程,对数据流采用两次抽象描述和一次回溯处理过程完成对入侵场景的构建,在DARPA2000测试数据集上的实验表明该方法是有效的。     

基于可执行文件静态分析的入侵检测模型

基于进程行为的入侵检测技术是主机防范入侵和检测恶意代码的重要技术手段之一．该文提出了一种基于可执行文件静态分析的入侵检测模型,该模型通过对应用程序可执行文件的静态分析,建立应用程序所有可能执行的定长系统调用集合,通过实时监控进程执行的系统调用序列是否在该集合中实施检测．该模型不需要源文件、大规模训练数据,通用性和易用性好;在应用程序可执行文件完整的情况下,误报率为0,抵抗模仿攻击的能力更强,漏报率更低．     

基于隐马尔可夫模型的异常检测

首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测     

基于网络的入侵检测系统的典型信息源研究

主要研究了基于网络的入侵检测系统的典型信息源。首先介绍了基于网络的入侵检测系统的工作原理;其次,分两大类介绍了截获协议数据单元和帧的方法,并对其中一个方法给出了一种实现。     

基于模糊小波神经网络的主机入侵预测

综合利用模糊技术、神经网络与小波技术,提出一种主机入侵预测模型FWNN-IP。将系统调用按危险度进行分类,并为高危险度的系统调用赋予较高的值,利用模糊化后的系统调用短序列分析程序(进程)的踪迹,达到入侵预测的目的。实验结果表明,FWNN-IP模型能够及时预测程序(进程)中的异常,采取更加积极主动的预防措施抵制入侵行为。     

基于特征模式的马尔可夫链异常检测模型

为提高检测精度,同时保持算法复杂度在可接受范围内,提出基于特征模式的马尔可夫链异常检测模型。提取所有支持度大于阈值的系统调用短序列为特征模式,在此基础上建立改进的马尔可夫模型CPMC。在检测时,用程序轨迹匹配特征模式,计算其在CPMC模型下的概率,概率小则代表异常。实验表明,该方法的检测精度高于目前常见的几种单一方法,与DBCPIDS方法的精度近似相等,但其计算复杂度更低。     

基于数据挖掘的入侵检测技术研究

当今社会信息安全问题引起了人们的广泛关注。本文介绍了入侵检测的重要性以及传统入侵检测的类型和局限性，指出利用数据挖掘技术可以克服这些局限性。本文给出了数据挖掘技术的定义、入侵检测模型数据挖掘过程、基于数据挖掘的入侵检测框架．最后指出了需要继续研究的几个热点问题。     

基于数据挖掘的入侵检测技术研究

当今社会信息安全问题引起了人们的广泛关注。本文介绍了入侵检测的重要性以及传统入侵检测的类型和局限性,指出利用数据挖掘技术可以克服这些局限性。本文给出了数据挖掘技术的定义、入侵检测模型数据挖掘过程、基于数据挖掘的入侵检测框架,最后指出了需要继续研究的几个热点问题。