共查询到19条相似文献,搜索用时 82 毫秒
1.
讨论了现有方法的缺点,提出了一种基于系统调用序列的检测程序异常行为的新方法,并与其他方法进行了对比和实验。 相似文献
2.
提出一种借助系统调用实现基于信息流的完整性度量的方法。该方法将度量过程分为离线阶段和运行阶段。在离线阶段,软件执行的系统调用被监控和记录,结合系统调用和信息流的关系抽象出软件的信息流基准值。在运行阶段,分析软件运行时的系统调用信息,获得软件运行时的信息流,根据信息流基准值检查软件的信息流是否出现异常,度量软件的完整性。为了验证方法的可行性,文章以Apache服务器为例,实现该方法的原型系统。实验表明该方法能够发现软件运行时完整性被破坏而出现的异常信息流。 相似文献
3.
针对仿生免疫系统模型(GECISM)中已识别出的“非我”入侵程序,介绍了基于系统调用序列根据入侵行为进行分类的方法。通过对训练集提取规则,建立“非我”类的特征库,从而判断出“非我”程序所属的“非我”类。实验验证了这一方法的可行性和有效性。 相似文献
4.
程序的行为轨迹常采用基于系统调用的程序行为自动机来表示.针对传统的程序行为自动机中控制流和数据流描述的程序行为轨迹准确性较低、获取系统调用上下文时间开销大、无法监控程序运行时相邻系统调用间的程序执行轨迹等问题,提出了基于系统调用属性的程序行为自动机.引入了多个系统调用属性,综合系统调用各属性的偏离程度,对系统调用序列描述的程序行为轨迹进行更准确地监控;提出了基于上下文的系统调用参数策略,检测针对系统调用控制流及数据流的行为轨迹偏离;提出了系统调用时间间距属性,使得通过系统调用及其参数无法监控的相邻系统调用间的程序行为轨迹在一定程度上得到了监控.实验表明基于系统调用属性的程序行为自动机能够更准确地刻画程序行为轨迹,较传统模型有更强的行为偏离检测能力. 相似文献
5.
基于行为特征的恶意代码检测方法 总被引:2,自引:0,他引:2
本文分析总结了恶意代码的行为特征,提出了一种分析API序列来检测恶意代码的方法.该方法在传统攻击树模型中添加了时间、参数调用等语义相关信息,提升了攻击树模型对代码行为的描述能力,并对恶意代码中常见的危险API调用序列进行建模.通过虚拟执行的方法获取代码的API调用序列.并将这些序列与扩展模型进行模式匹配.发现代码中的恶意行为,计算其威胁指数,进而检测代码是否具有恶意性. 相似文献
6.
提出了一种改进的基于系统调用序列分析的入侵检测方法,该方法对审计数据首先进行MLSI现象的检测,在发现MLSI之后,再与正常库进行匹配,以检测是否有入侵行为.理论分析和实验表明,MLSI能够有效地标识入侵,通过查找MLSI,再进行异常检测的方法可以大大地降低系统的开销,这些都说明该方法是有效和可行的. 相似文献
7.
8.
为了更好地体现时间序列的形态特征,并探索更适合于较长时间序列之间相似性度量的方法,在动态时间弯曲算法的基础上进行改进,提出了基于分层动态时间弯曲的序列相似性度量方法。对时间序列进行多层次分段,并从分段中均匀抽取相对应的层次分段子序列,然后将层次分段子序列抽象为三维空间的点(反映了分段子序列的均值、长度和趋势)进行相似性度量,最后综合各个层次的相似性度量作为结果。实验表明,在参数设置合理的情况下,此方法能获得较高的序列相似性度量准确度和效率。 相似文献
9.
目前大多数基于系统调用序列分析的主机异常检测方法,在对系统调用序列裁减和特征提取过程中,没有客观评估所使用进程行为的特征表述模式质量,造成了许多误警、漏警和性能方面的问题.提出了一种基于最大熵原理的主机异常检测模型.利用互信息量和Z测试实现特征提取,利用最大熵模型实现了特征评估与分类器.并通过改进Bloom Filter算法,实现了高效的查找或匹配过程,较好地满足主机异常检测的性能和检测效率的要求,实验结果证明,该检测模型能够以较高的精确度及时地检测出异常攻击行为. 相似文献
10.
基于系统调用的软件行为模型 总被引:5,自引:0,他引:5
由于系统调用信息可以在一定程度上反映程序的行为特性,因此利用系统调用来对程序行为进行建模是目前入侵检测领域的研究热点。以静态建模、动态建模和混合建模这3种不同的建模方式为切入点,按照时间顺序将基于系统调用的软件行为模型的发展划分为3个阶段:初期阶段、发展阶段和综合发展阶段。然后剖析了各阶段内的模型的发展轨迹以及它们之间的内在联系,并对它们做了横向对比分析。研究表明,基于系统调用的软件行为建模技术的发展趋势应是结合静态和动态建模技术以及结合系统调用的控制流信息和数据流信息,并综合考虑其他实时信息,如环境变量和上下文信息等,开发出检测能力更强、完备性更高以及实际可行性高的软件行为模型。 相似文献
11.
在分析已有通过系统序列调用分析入侵行为的基础上,提出了一种基于遗传算法的系统调用序列审计算法。该算法首先从系统运行的进程中截获并生成系统调用序列,并通过遗传算法对其进行演化,来达到对未知攻击调用序列审计的目的。算法的规则中使用通配符可以大大减少审计规则的数量,从而提高审计系统的运行效率,最后分析了通配符个数以及信任度对规则数量和准确率的影响。 相似文献
12.
13.
14.
基于进程轨迹最小熵长度的系统调用异常检测 总被引:1,自引:0,他引:1
进程的系统调用轨迹蕴藏着程序行为不变性和用户行为不变性这两种不变性,其中,程序行为不变性可进一步细分为时间顺序不变性和频度不变性。已有的系统调用异常检测技术研究工作均集中于程序行为不变性,忽视了用户行为不变性。从系统调用中的频度不变性出发,研究了系统调用轨迹中的用户行为不变性及其描述手段,并提出采用最小熵长度描述这种不变性。在 Sendmail 数据集上的实验表明,最小熵长度较好地描述了系统调用轨迹中的用户行为不变性,结合程序行为不变性,可以极大地提高系统调用异常检测性能。 相似文献
15.
入侵检测系统依赖于大量的数据检测以区别合法和非法的行为.通过检测操作系统内核的系统调用序列,应用免疫原理中的否定选择算法,以区分合法与非法的系统调用.实验验证了该方法的可行性和有效性. 相似文献
16.
17.
针对重复网页的去重问题,对两种重复词句提取算法进行了系统分析比较。STC算法在时间成本上具有优秀性能,重复序列的倒排索引方法在空间复杂度方面更胜一筹。结合STC算法对重复序列方法进行了改进,而面向主题转载的重复网页,先抽取重复串,然后将重复串作索引进行STC算法的重复抽取。实验结果表明,改进算法在保持了原有空间特性的基础上极大地提高了时间效率。 相似文献
18.
19.
为了解决移动数据形成的轨迹间用户相似性问题,提出了一种基于位置序列的广义后缀树(LSGST)用户相似性计算方法。该算法首先从移动数据中抽取位置序列,同时将位置序列映射为字符串,完成了对位置序列的处理到对字符串处理的转化工作;然后,构建不同用户间的位置序列广义后缀树;最后,分别从经过的相似地方个数、最长公共子序列、频繁公共位置序列三方面对相似性进行具体计算。理论分析和仿真表明,该算法提出的三个计算指标在计算相似性方面具有理想的效果;除此之外,与构造后缀树的普通方法相比,时间复杂度较低;与动态规划和朴素字符串匹配方法相比,该算法在寻找最长公共子串、频繁公共位置序列时,效率更高。实验结果表明LSGST能够有效测量相似性,同时减少了寻找测量指标时需要处理的轨迹数据量,并在时间复杂度方面明显优于对比算法。 相似文献