基于系统调用序列的程序异常行为检测

讨论了现有方法的缺点,提出了一种基于系统调用序列的检测程序异常行为的新方法,并与其他方法进行了对比和实验。     

一种借助系统调用实现基于信息流的完整性度量的方法

提出一种借助系统调用实现基于信息流的完整性度量的方法。该方法将度量过程分为离线阶段和运行阶段。在离线阶段,软件执行的系统调用被监控和记录,结合系统调用和信息流的关系抽象出软件的信息流基准值。在运行阶段,分析软件运行时的系统调用信息,获得软件运行时的信息流,根据信息流基准值检查软件的信息流是否出现异常,度量软件的完整性。为了验证方法的可行性,文章以Apache服务器为例,实现该方法的原型系统。实验表明该方法能够发现软件运行时完整性被破坏而出现的异常信息流。     

基于系统调用序列的“非我”分类

针对仿生免疫系统模型（GECISM）中已识别出的“非我”入侵程序,介绍了基于系统调用序列根据入侵行为进行分类的方法。通过对训练集提取规则,建立“非我”类的特征库,从而判断出“非我”程序所属的“非我”类。实验验证了这一方法的可行性和有效性。     

基于系统调用属性的程序行为监控

程序的行为轨迹常采用基于系统调用的程序行为自动机来表示.针对传统的程序行为自动机中控制流和数据流描述的程序行为轨迹准确性较低、获取系统调用上下文时间开销大、无法监控程序运行时相邻系统调用间的程序执行轨迹等问题,提出了基于系统调用属性的程序行为自动机.引入了多个系统调用属性,综合系统调用各属性的偏离程度,对系统调用序列描述的程序行为轨迹进行更准确地监控;提出了基于上下文的系统调用参数策略,检测针对系统调用控制流及数据流的行为轨迹偏离;提出了系统调用时间间距属性,使得通过系统调用及其参数无法监控的相邻系统调用间的程序行为轨迹在一定程度上得到了监控.实验表明基于系统调用属性的程序行为自动机能够更准确地刻画程序行为轨迹,较传统模型有更强的行为偏离检测能力.     

基于行为特征的恶意代码检测方法

本文分析总结了恶意代码的行为特征,提出了一种分析API序列来检测恶意代码的方法.该方法在传统攻击树模型中添加了时间、参数调用等语义相关信息,提升了攻击树模型对代码行为的描述能力,并对恶意代码中常见的危险API调用序列进行建模.通过虚拟执行的方法获取代码的API调用序列.并将这些序列与扩展模型进行模式匹配.发现代码中的恶意行为,计算其威胁指数,进而检测代码是否具有恶意性.     

基于系统调用序列分析的入侵检测方法

提出了一种改进的基于系统调用序列分析的入侵检测方法,该方法对审计数据首先进行MLSI现象的检测,在发现MLSI之后,再与正常库进行匹配,以检测是否有入侵行为.理论分析和实验表明,MLSI能够有效地标识入侵,通过查找MLSI,再进行异常检测的方法可以大大地降低系统的开销,这些都说明该方法是有效和可行的.     

基于系统调用短序列的软件漏洞检测方法研究

软件受到攻击后将在所执行的系统调用状况中有所体现,因此可将基于系统调用的入侵检测技术应用于软件漏洞的检测。本文针对无源码的可执行程序,引入系统调用节点和系统调用上下文信息的概念来刻画软件行为的动态特性和漏洞的位置信息,利用改进的STIDE算法构造软件正常行为特征库来检测并定位漏洞。实验结果表明该方法能够准确获取软件行为信息,且具有较强的漏洞检测能力。     

基于分层动态时间弯曲的序列相似性度量方法研究

为了更好地体现时间序列的形态特征,并探索更适合于较长时间序列之间相似性度量的方法,在动态时间弯曲算法的基础上进行改进,提出了基于分层动态时间弯曲的序列相似性度量方法。对时间序列进行多层次分段,并从分段中均匀抽取相对应的层次分段子序列,然后将层次分段子序列抽象为三维空间的点（反映了分段子序列的均值、长度和趋势）进行相似性度量,最后综合各个层次的相似性度量作为结果。实验表明,在参数设置合理的情况下,此方法能获得较高的序列相似性度量准确度和效率。     

基于最大熵原理系统调用序列异常检测模型研究

目前大多数基于系统调用序列分析的主机异常检测方法,在对系统调用序列裁减和特征提取过程中,没有客观评估所使用进程行为的特征表述模式质量,造成了许多误警、漏警和性能方面的问题.提出了一种基于最大熵原理的主机异常检测模型.利用互信息量和Z测试实现特征提取,利用最大熵模型实现了特征评估与分类器.并通过改进Bloom Filter算法,实现了高效的查找或匹配过程,较好地满足主机异常检测的性能和检测效率的要求,实验结果证明,该检测模型能够以较高的精确度及时地检测出异常攻击行为.     

基于系统调用的软件行为模型

由于系统调用信息可以在一定程度上反映程序的行为特性,因此利用系统调用来对程序行为进行建模是目前入侵检测领域的研究热点。以静态建模、动态建模和混合建模这3种不同的建模方式为切入点,按照时间顺序将基于系统调用的软件行为模型的发展划分为3个阶段:初期阶段、发展阶段和综合发展阶段。然后剖析了各阶段内的模型的发展轨迹以及它们之间的内在联系,并对它们做了横向对比分析。研究表明,基于系统调用的软件行为建模技术的发展趋势应是结合静态和动态建模技术以及结合系统调用的控制流信息和数据流信息,并综合考虑其他实时信息,如环境变量和上下文信息等,开发出检测能力更强、完备性更高以及实际可行性高的软件行为模型。     

基于遗传算法的系统调用序列审计研究

在分析已有通过系统序列调用分析入侵行为的基础上,提出了一种基于遗传算法的系统调用序列审计算法。该算法首先从系统运行的进程中截获并生成系统调用序列,并通过遗传算法对其进行演化,来达到对未知攻击调用序列审计的目的。算法的规则中使用通配符可以大大减少审计规则的数量,从而提高审计系统的运行效率,最后分析了通配符个数以及信任度对规则数量和准确率的影响。     

基于行为轨迹的软件动态可信度量

针对软件动态可信度量方法中准确性和效率较低的问题,提出了一种以编译器插桩获取软件行为轨迹的软件动态可信SDTBT模型。通过分析包含函数调用和基本块调用的C程序控制流,在GCC编译预处理过程中设计软件插桩算法,提取软件行为轨迹;模型运行时可选择基本块或函数调用作为动态可信验证的对象,提高了软件度量的灵活性和效率,同时降低了度量资源消耗。实验分析表明,该模型能够准确提取软件行为轨迹信息,有效检测基于控制流的攻击行为,相较于已有模型有较高的准确性和较低的时间消耗。     

一种基于优先级组呼业务的动态信道分配策略

以提高组呼业务QoS为目的,针对组呼业务在TD-SCDMA集群通信系统中的重要性,以及系统中用户呼叫、移动的群组性,提出了一种适用于集群通信系统的动态资源分配算法。当组呼业务达到接入门限时,组呼业务可借用普通群组的数据业务(非调度数据业务类)资源。仿真结果表明,该算法有效降低了高优先级、人数众多群组的通话阻塞率,提高了系统服务效用值,是一种适用于集群通信系统的算法。     

基于进程轨迹最小熵长度的系统调用异常检测

进程的系统调用轨迹蕴藏着程序行为不变性和用户行为不变性这两种不变性,其中,程序行为不变性可进一步细分为时间顺序不变性和频度不变性。已有的系统调用异常检测技术研究工作均集中于程序行为不变性,忽视了用户行为不变性。从系统调用中的频度不变性出发,研究了系统调用轨迹中的用户行为不变性及其描述手段,并提出采用最小熵长度描述这种不变性。在 Sendmail 数据集上的实验表明,最小熵长度较好地描述了系统调用轨迹中的用户行为不变性,结合程序行为不变性,可以极大地提高系统调用异常检测性能。     

基于免疫原理的非法系统调用的检测

入侵检测系统依赖于大量的数据检测以区别合法和非法的行为.通过检测操作系统内核的系统调用序列,应用免疫原理中的否定选择算法,以区分合法与非法的系统调用.实验验证了该方法的可行性和有效性.     

对计算机系统中程序行为的分析和研究

对程序行为的三种提取方法进行了分析比较,并采用LKM（Linux Kernel Module）方式对程序行为进行提取分析。从字符串参数长度分布,字符串参数字符特征分布及特殊系统调用参数三个方面来对系统调用参数进行分析,丰富了程序行为分析手段,提高了程序异常检测精度。     

关于重复词句提取的两种算法分析

针对重复网页的去重问题,对两种重复词句提取算法进行了系统分析比较。STC算法在时间成本上具有优秀性能,重复序列的倒排索引方法在空间复杂度方面更胜一筹。结合STC算法对重复序列方法进行了改进,而面向主题转载的重复网页,先抽取重复串,然后将重复串作索引进行STC算法的重复抽取。实验结果表明,改进算法在保持了原有空间特性的基础上极大地提高了时间效率。     

基于FPGA的智能呼叫系统的设计

研究了智能呼叫系统,能实现64人呼叫,在有人呼叫时,启动语言对话系统,实现呼叫者和值班管理员对话,显示第一或优先呼叫者编码,并有光声提示,同时还能存储多人呼叫信息。将系统分成若干部分．主要包括呼叫信号编码和译码电路、呼叫存储电路、语音放大电路、控制电路、模拟电子开关电路、模拟选择／分配电路等部分,,数字部分功能用Ahera公司的FPGA器件EPF10K10TC144—3实现。     

基于位置序列的广义后缀树用户相似性计算方法

为了解决移动数据形成的轨迹间用户相似性问题,提出了一种基于位置序列的广义后缀树(LSGST)用户相似性计算方法。该算法首先从移动数据中抽取位置序列,同时将位置序列映射为字符串,完成了对位置序列的处理到对字符串处理的转化工作;然后,构建不同用户间的位置序列广义后缀树;最后,分别从经过的相似地方个数、最长公共子序列、频繁公共位置序列三方面对相似性进行具体计算。理论分析和仿真表明,该算法提出的三个计算指标在计算相似性方面具有理想的效果;除此之外,与构造后缀树的普通方法相比,时间复杂度较低;与动态规划和朴素字符串匹配方法相比,该算法在寻找最长公共子串、频繁公共位置序列时,效率更高。实验结果表明LSGST能够有效测量相似性,同时减少了寻找测量指标时需要处理的轨迹数据量,并在时间复杂度方面明显优于对比算法。