一个准确高效的基于程序行为的异常检测模型

提出一个高效准确的基于程序行为的异常入侵检测模型,该模型对于静态链接的程序部分以及函数递归基于优化的堆栈遍历技术获得调用堆栈状态信息;对于程序循环,使用代码插入和Null挤压技术来高效地获得系统调用上下文信息;基于动态通知技术,处理非标准的控制转移;从而,能够获得完备的系统调用上下文信息,提高了模型的准确度.给出了模型的描述和实施,分析了其优点.在Linux程序上的实验表明,该模型可保持检测的高效率.     

基于程序的异常检测研究综述

以程序正常行为描述方法为线索,将利用系统调用数据检测程序异常行为的各种技术分类为基于规范的方法、基于频率的方法、控制流分析方法、数据流分析方法。详细介绍了这些方法的基本思想、使用的各种模型以及最新研究进展,指出并分析了现有技术中存在的问题和不足,正式提出了基于程序的异常检测技术应该以各种服务器程序为研究对象的观点,介绍了一个经过初步实验验证了的、基于服务器程序运行踪迹层次结构的异常检测原型系统,该原型系统利用了服务器程序请求一应答式工作特征和一些关键系统调用的语义信息以及运行时的动态信息,通过结构模式识别技术在识别服务器程序正常行为过程中发现异常并具备分析异常、提供入侵相关详细信息的能力,而这种能力正是异常检测技术进一步研究发展的方向之一。     

基于系统调用序列分析入侵检测的层次化模型

系统调用是操作系统和用户程序的接口,任何程序必须通过系统调用才能执行。近年来,网络安全事件频发,基于系统调用序列分析的入侵检测方法成为了网络安全研究的热点技术之一。本文提出了基于枚举序列、隐马尔科夫两种方法建立系统行为的层次化模型,不同于传统意义上的单层次模型。在新墨西哥大学提供的实验数据上,本方法在检测程序异常行为的准确度和响应时间方面都得到了很好的效果,表明该方法更适合基于主机入侵的在线检测方法。     

基于系统调用的软件行为模型

由于系统调用信息可以在一定程度上反映程序的行为特性,因此利用系统调用来对程序行为进行建模是目前入侵检测领域的研究热点。以静态建模、动态建模和混合建模这3种不同的建模方式为切入点,按照时间顺序将基于系统调用的软件行为模型的发展划分为3个阶段:初期阶段、发展阶段和综合发展阶段。然后剖析了各阶段内的模型的发展轨迹以及它们之间的内在联系,并对它们做了横向对比分析。研究表明,基于系统调用的软件行为建模技术的发展趋势应是结合静态和动态建模技术以及结合系统调用的控制流信息和数据流信息,并综合考虑其他实时信息,如环境变量和上下文信息等,开发出检测能力更强、完备性更高以及实际可行性高的软件行为模型。     

基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

一种用于异常检测的系统调用参数及序列分析算法

本文基于异常检测技术及相关理论,提出了一种综合系统调用参数及调用序列的异常检测算法,该算法通过系统调用参数和序列构建具备更多特征信息的正常行为签名,从而提高入侵检测系统的检测效率及检测准度。     

基于系统调用的入侵检测系统研究

入侵检测是网络安全研究的热点技术之一,是新一代安全保障方案。该文实现了一种基于系统调用的异常入侵检测方法,使用系统调用作为输入,构建程序中函数的有限状态自动机,利用该自动机检测进程流程是否发生异常来确定是否发生了入侵。实验结果表明,该技术不仅能有效地检测出入侵行为,而且可以发现程序漏洞的位置,便于修改代码。     

基于扩充数据源的系统调用异常检测算法

扩充了传统异常检测算法的数据源，将系统调用参数和系统调用频率信息纳入异常检测算法中。新的算法通过训练统计系统调用的频率信息，建立程序正常运行时的文件访问分布模型，以传统的基于系统调用的异常检测方法为基础，结合训练时得到的信息，确定攻击的优先级。实验结果表明，该方法有效的改善了原方法的检测率和误报率等指标。     

基于两层隐马尔可夫模型的入侵检测方法*

在基于系统调用的入侵检测研究中,如何提取系统调用序列模式是一个重要问题.提出一种利用进程堆栈中的函数返回地址链信息来提取不定长模式的方法.同王福宏的不定长模式提取方法相比,该方法可以取得更完备的模式集.在此基础上,基于系统调用序列及其对应的不定长模式序列构建了一个两层隐马尔可夫模型来检测异常行为,与仅利用系统调用序列信息的经典隐马尔可夫方法相比,该方法可以取得更低的误报率和漏报率.     

基于进程轨迹最小熵长度的系统调用异常检测

进程的系统调用轨迹蕴藏着程序行为不变性和用户行为不变性这两种不变性,其中,程序行为不变性可进一步细分为时间顺序不变性和频度不变性。已有的系统调用异常检测技术研究工作均集中于程序行为不变性,忽视了用户行为不变性。从系统调用中的频度不变性出发,研究了系统调用轨迹中的用户行为不变性及其描述手段,并提出采用最小熵长度描述这种不变性。在 Sendmail 数据集上的实验表明,最小熵长度较好地描述了系统调用轨迹中的用户行为不变性,结合程序行为不变性,可以极大地提高系统调用异常检测性能。     

Linux进程语义安全性检测的稳定模型

现有进程检测方法,检测的目标是系统调用的序列的排列关联,忽略了语义中潜在的异常。稳定模型是逻辑程序的语义模型,可以用以发现并修改逻辑程序的异常问题。该文以系统调用为基本检测点,采用逻辑程序描述进程的基本语义逻辑,用稳定模型表达进程的检测语义。系统定义进程的一系列安全语义规则,在进程执行中,计算安全语义规则与进程逻辑之间的稳定模型,得到安全语义的可计算性结论。论文最后,给出了一个Linux系统中的进程语义安全性检测的基本框架。     

一种增强的程序行为异常检测方法

程序行为异常检测是保护应用程序的重要方法。针对异常检测的数据源选择问题,提出一种细粒度的安全审计事件L-Call,用来刻画程序行为,该事件本质上是一种具有位置属性的系统调用。为了评估程序行为偏离程度,提出一种基于切比雪夫不等式的异常度量化方法,用以在序列概率分布未知情况下估算异常强度。最后实现了基于马尔科夫模型的检测原型系统LC-ADS。试验结果表明,提出的新安全事件和异常度量化方法可较好地反映程序行为变化,LC-ADS取得了更高的检测率和更低的误报率。     

基于粗糙集约简的进程系统调用序列异常检测方法研究

提出了一种基于粗糙集约简的系统调用序列异常检测方法，其基本思想是利用粗糙集约简来对第k个系统调用位置进行预测，把前k-1个位置视为条件属性集，第k个位置视为决策属性，通过Rough集约简方法得到一组预测第k个系统调用位置的最小规则集，进而可用于对实际进程的异常检测。基于合成的UNM sendmail系统调用数据的实验结果表明，本文所提出的异常检测算法性能好于Forrest等人的tide方法，与Wenke Lee等人的数据挖掘算法检测精度相当。但在选择较大的阈值时，漏报率更低。     

基于系统调用和数据挖掘的程序行为异常检测

异常检测是目前入侵检测研究的主要方向之一。该文提出一种新的程序行为异常检测方法,主要用于Linux或Unix平台上以系统调用为审计数据的入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度和可信度在训练数据中提取正常模式。在检测阶段,通过序列模式匹配对被监测程序的行为异常程度进行分析,提供两种可选的判决方案。实验结果表明,该方法具有良好的检测性能。     

基于支持向量数据描述的系统调用轨迹异常检测

通过监控主机系统调用的执行,可以在很大程度上发现入侵行为。建立支持向量数据描述(SVDD)的异常检测模型,通过对正常状态应用程序系统调用轨迹进行训练,使偏离正常模式的活动都被认为是潜在的入侵。通过对IE进程系统调用轨迹的优化处理,只利用少量的训练样本,试验获得了对异常样本99%的检测率,而虚警率不到1%。     

Fast intrusion detection based on a non-negative matrix factorization model

In this paper, we present an efficient fast anomaly intrusion detection model incorporating a large amount of data from various data sources. A novel method based on non-negative matrix factorization (NMF) is presented to profile program and user behaviors of a computer system. A large amount of high-dimensional data is collected in our experiments and divided into smaller data blocks by a specific scheme. The system call data is divided into blocks by processes, while command data is divided into consecutive blocks with a fixed length. The frequencies of individual elements in each block of data are computed and placed column by column as data vectors to construct a matrix representation. NMF is employed to reduce the high-dimensional data vectors and anomaly detection can be realized as a very simple classifier in low dimensions. Experimental results show that the model presented in this paper is promising in terms of detection accuracy, computation efficiency and implementation for fast intrusion detection.     

基于隐马尔可夫的系统入侵检测方法

针对入侵检测中普遍存在误报与漏报过高的问题,本文提出一种新的基于隐马尔可夫模型的系统入侵检测方法。该方法以程序正常执行过程中产生的系统调用序列为研究对象,首先建立计算机运行状况的隐马尔可夫模型,然后在此模型的基础上提出一个用于计算机系统实时异常检测的算法。实验证明,用这种方法建模的系统在不影响检测率的情况下,比传统的数据建设模节省存储空间,并且准确率高。     

进程异常检测中淋巴细胞的逻辑语义模型

论文针时反向选择算法无法有效地捕捉某些复杂问题空间的语义信息的缺点,以逻辑程序设计领域中的稳定模型为理论基础,提出一个淋巴细胞的逻辑语义模型。该模型采用逻辑程序表示淋巴细胞和抗原,通过计算它们的稳定模型来进行异常检测。最后,以进程异常检测为背景,设计了一个系统框架。该框架充分考虑了进程系统调用短序列的语义信息。能有效地提高异常检测的准确率。