计算机免疫系统GECISM的动态和超动态配置

为降低计算机仿生免疫系统GECISM(GEneral Computer Immune System Model)的系统开销，分析了静态配置的不足，在保证其综合防御能力的前提下提出动态和超动态的配置策略，以适应不同性能要求、安全等级的分布计算环境。     

GECISM:仿生的计算机免疫系统模型

根据仿生学原理,模拟生物系统的免疫机理,设计了计算机系统安全模型GECISM(GEneral Computer Immune System Model)。GECISM的NFA(Non-deterministic Finite Automaton)模型精确定义了GECISM的属性和特征,为GECISM的性能分析、系统测试提供了理论基础。     

一种仿生物免疫的计算机安全系统模型

根据仿生学原理,模拟生物系统的免疫机理,设计了计算机系统安全模型GECISM（GEneral Computer Immune System Model),该模型由不同的代理构成,各代理模拟不同的免疫细胞的功能,通过相互协作,区分系统中的“自我”,“非我”,“并消除“非我”。     

GECISM中沙盒主机的“非我”检测与分类

对仿生免疫系统GECISM(General Computer Immune System Model),沙盒主机是其中的一个主要代理。文章详细介绍了沙盒主机中“非我”检测与分类的结构。通过定义安全相关调用,对采集形成的安全相关调用短序列进行训练,生成序列库和规则库,从而对“非我”进行检测和分类,同时对测试程序“非我”类型的分布进行了讨论。实验证明了用此方法进行“非我”检测和分类的可行性和高效性。     

Linux中检查点(Checkpoint)的核心支持——ckpt文件系统的设计

检查点(Checkpoint)是一种软件容错机制,它的目的是提高系统可靠性、减少运算损失,同时检查点机制也是并行系统中进程迁移和负载平衡的基础。在一些检查点系统中,由于对进程的状态检查/状态恢复只具有用户级支持,所以有许多局限性,比如不能完成进程外部状态检查。而在作者的设计与实现中由于具有了核心级的支持,所以能够充分地克服这些局限性。     

移动代理入侵检测系统中的自适应技术的研究

介绍了入侵检测及入侵响应系统中的自适应技术。提出了基于代理的自适应分层入侵检测系统(AAHIDS,Agent-based Adaptive Hierarchical Intrusion Detection System)和基于代理的自适应入侵响应系统(AIRS,Agent-based AdaptiveIntrusion Response System)。它们通过调整负责检测入侵行为的系统资源来实现自适应性,动态调用新的底层检测代理的组合以及调整与这些底层代理相关的置信度来适应变化的环境。通过增加过去已获得成功的响应机制的权值,使成功的响应机制获得更多的调用机会来实现响应的自适应性。     

基于模糊决策树的入侵规则生成技术

针对计算机免疫系统模型GECISM(general computer immune system model)中的类MC Agent,提出了如何利用应用程序的系统调用数据集构造模糊决策树,从而生成计算机免疫系统中的入侵检测规则,给出并对比分析了实验结果,发现用此方法生成的规则对未知数据集进行分类有较低的误报率和漏报率.     

GECISM中缓冲溢出类非我的识别

缓冲区溢出攻击技术目前是一项广泛而基础的攻击技术,也是目前攻击技术的主要发展方向。缓冲溢出攻击常用手段就是通过改变程序的执行流程,转而去执行其植入的入侵代码,进而获得系统的root权限,对系统安全构成了巨大的威胁。该文在模仿生物免疫系统设计的计算机安全系统模型GECISM基础上构建了DAE Agent。通过RC4.5算法实对入侵训练集的系统调用序列进行规则提取,从而此代理实现了对缓冲溢出类入侵的检测。     

移动代理入侵检测系统中的自适应技术的研究

YP绍了入侵检测及入侵响应系统中的自适应技术。提出了基于代理的自适应分层入侵检测系统（AAHIDS，Agent—based Adaptive Hierarchical Intrusion Detection System）和基于代理的自适应入侵响应系统（AJRS，Agent—based Adaptive Intrusion Response System）。它们通过调整负责检测入侵行为的系统资源来实现自适应性，动态调用新的底层检测代理的组合以及调整与这些底层代理相关的置信度来适应变化的环境。通过增加过去已获得成功的响应机制的权值，使成功的响应机制获得更多的调用机会来实现响应的自适应性。     

一个基于通信系统支持的并行检查点系统

在大规模机群环境下，检查点和恢复机制是一种必不可少的容错技术。该文提出一种基于机群通信系统的可靠性机制，在不作全局同步的情况下获取通信系统全局状态的方法，并利用该方法实现了一个对应用程序透明的并行检查点系统。该系统通过底层通信系统的支持降低了并行检查点的实现复杂度和执行开销，适用于大规模机群应用。     

基于系统调用序列的“非我”分类

针对仿生免疫系统模型（GECISM）中已识别出的“非我”入侵程序,介绍了基于系统调用序列根据入侵行为进行分类的方法。通过对训练集提取规则,建立“非我”类的特征库,从而判断出“非我”程序所属的“非我”类。实验验证了这一方法的可行性和有效性。     

Detection of anomalies in compiled computer program files inspired by immune mechanisms using a template method

Journal of Computer Virology and Hacking Techniques - An intrusion detection system inspired by the human immune system is described: a custom artificial immune system that monitors a local area...     

基于危险理论的层次化网络入侵免疫

人们根据生物免疫的原理,建立人工免疫系统来保护计算机不受网络攻击。但是,以往的人工免疫系统只是模仿生物的免疫机制,而很少考虑计算机网络结构的特点,使得检测的漏报率高,误报率也高。利用危险理论的基本原理,提出层次化的网络免疫系统,使得免疫反应更有针对性,从而更好地保护计算机不受网络的攻击。     

FICSAM:一种适用于大型适应性系统的单例学习方法

对该方法的步骤、影响因素及特征进行了描述。同时,分析讨论了先聚后得法在计算机免疫系统GECISM中的应用及实验结果。     

基于“令牌环”技术提高GECISM可靠性的方法

计算机网络环境中为了实现对单个结点上GECISM故障的检测与修复,提高GECISM的可靠性,引入“令牌环”技术。在多个GECISM间建立逻辑环结构,通过令牌的传递检测结点故障;同时引入“慢心跳监测”技术,采用“邻接点监听恢复”策略减小结点的故障检测时间间隔;比较了“中心—邻接点”网状模型与该“令牌环”模型中系统的通信开销。     

一种新的优化的检查点间隔的求解模型

在具有容错功能的高性能计算环境中，由于加入检查点机制会给系统引入额外负载，检查点间隔的适当选定能使系统性能优化，Vaidya的贡献是用他的模型得出的检查点间隔的求解等式独立于检查点潜伏时间（L）及检查点恢复时间（R），本文介绍了一种新的基于时间分段的模型NSBM，引入了系统平均利用率这一容错领域更易理解的概念代替Vaidya模型中的平均负载率并推导出了也是独立于LＲ的求解等等式，实验结果表明NSBM的求解模型比Vaidya的求解模型更优化。     

分层检查点的近似最优周期计算模型

针对大规模高性能计算（HPC）系统中检查点效率提升问题,提出一种面向分层检查点近似最优周期计算模型。首先,通过分析一个HPC系统中应用程序的执行过程,将检查点周期优化抽象为一个非线性的检查点成本模型;其次,通过分析可能故障位置推导出分层检查点成本公式,并引入两个减速因子和一个加速因子来模拟消息日志对分层检查点造成的影响。仿真实验结果表明,所提模型与理论近似最优周期检查点成本平均误差在5%以下,相对传统检查点周期优化模型的平均误差降低了20%,能够有效提高检查点的效率,提升HPC系统可用性。