基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

基于系统调用序列的转移概率方法在入侵检测中的应用

Stephaine Forrest等提出进程行为可由系统调用短序列表征。本文介绍了马尔可夫链的状态转移概率原理,基于转移概率给出了系统调用与进程正常行为的相关性度量,以此来检测进程异常行为。试验结果表明,此方法可行。     

系统调用异常检测模型研究

应用程序系统调用的执行序列可以体现出应用程序运行的行为特征,因此通过检测系统调用可以进行异常检测。针对已有算法模式库规模比较大的不足,提出了一种基于遗传算法的系统调用异常检测方法。首先用滑动窗口将系统调用序列划分成长度固定的短序列,然后用遗传算法对系统调用短序列进行学习,建立模式库,用单模式不完全匹配方法对测试数据进行检测。实验表明该方法达到了较好的检测效果。     

基于系统调用序列分析入侵检测的层次化模型

系统调用是操作系统和用户程序的接口,任何程序必须通过系统调用才能执行。近年来,网络安全事件频发,基于系统调用序列分析的入侵检测方法成为了网络安全研究的热点技术之一。本文提出了基于枚举序列、隐马尔科夫两种方法建立系统行为的层次化模型,不同于传统意义上的单层次模型。在新墨西哥大学提供的实验数据上,本方法在检测程序异常行为的准确度和响应时间方面都得到了很好的效果,表明该方法更适合基于主机入侵的在线检测方法。     

基于系统调用分类的异常检测

提出了一种新的基于规则的异常检测模型.把系统调用按照功能和危险程度进行了分类,该模型只是针对每类中关键调用(即危险级别为1的系统调用).在学习过程中,动态地处理每个关键调用,而不是对静态的数据进行数据挖掘或统计,从而可以实现增量学习.同时通过预定义,精炼规则,有效地减少了规则数据库中的规则数目,缩减了检测过程中规则的匹配时间.实验结果清楚地表明,检测模型可以有效侦测出R2L,R2R和L2R型攻击,而且检测出的异常行为将被限制在相应的请求内而不是整个系统调用迹.检测模型适合于针对特权进程(特别是基于请求--反应型的特权进程)的异常入侵检测.     

系统调用序列分类的Motif方法及其在异常诊断中的应用

系统调用序列分析应用于异常诊断时大都提取定长或变长的子序列作为系统行为的特征,没有考虑系统调用的语义,而某些系统调用的语义是与进程的功能相关的.本文利用特殊系统调用的语义,从系统调用序列中提取motif-同类序列中经常出现的并与一定功能相关的子序列作为特征,并用这些motif建立分类器对序列进行自动分类.将此方法应用到PC机的入侵检测和系统故障诊断,结果表明,以motif为特征对序列进行分类,不仅可以提高识别率,降低误警报率,而且可以明显降低特征空间的维数.     

基于改进隐马尔可夫模型的系统调用异常检测

针对隐马尔可夫模型计算开销过高的问题,提出了一种新的基于隐马尔可夫模型(Hidden Markov model,HMM)的异常检测方法,利用系统调用执行迹具有的局部规律性,用改进的HMM(Improved HMM,IHMM)学习算法来构建程序正常行为模型.在检测时,首先对待测系统调用数据用滑动窗口划分,并通过正常行为模型来判定异常,根据异常短序列占所有短序列的百分比来判断该进程是否行为异常.实验结果显示该方法训练耗时仅为传统方法的1%.当阈值在一个较大范围内变化时,模型的检测性能始终保持稳定.表明本文方法通过避免对大量相同短序列的重复计算,显著减少了训练时间和计算开销,在实际应用中具有良好的可操作性.     

基于HMM的系统调用序列异常入侵检测

本文首先介绍了入侵检测的发展状况,接着用马尔可夫和BW算法进行建模;然后以系统调用执行迹这类常用的入侵检测数据为例,验证该模型的工作效果,最后将计算机仿真结果与其他检测方法进行了比较。通过实验和比较发现,基于HMM的系统调用序列的异常检测率比其他方法有明显的提高。     

一种用于异常检测的系统调用参数及序列分析算法

本文基于异常检测技术及相关理论,提出了一种综合系统调用参数及调用序列的异常检测算法,该算法通过系统调用参数和序列构建具备更多特征信息的正常行为签名,从而提高入侵检测系统的检测效率及检测准度。     

基于系统调用序列的程序异常行为检测

讨论了现有方法的缺点,提出了一种基于系统调用序列的检测程序异常行为的新方法,并与其他方法进行了对比和实验。     

基于马尔可夫模型的临床序列异常检测

针对单病种临床序列大都具有类似的时序频繁模式,提出一种基于马尔可夫模型的临床序列检测模型。采用编辑距离算法对临床序列进行数据转换,构造其特征空间;根据特征空间中频繁模式在临床序列中的时序构建马尔可夫模型,获取模型的参数;将参数和待检序列代入检测模型进行频繁模式迁移支持概率的计算;比对计算结果与给定阈值偏差,确定临床行为的异常性。实验结果表明,在选取合适的参数值的基础上,可有效的检测出异常的临床行为。     

基于系统调用的混合HMM/MLP异常检测模型

首先描述了基于隐马尔可夫模型(HMM)的异常检测方法并指出其缺点．然后提出了一种将多层感知机(MLP)用作HMM的概率估计器的方法,以克服HMM方法的不足．最后建立了一个基于系统调用的混合HMM/MLP异常检测模型,并给出了该模型的训练和检测算法．实验结果表明,该混合系统的漏报率和误报率都低于HMM方法．     

一个两层马尔可夫链异常入侵检测模型

在现有的单层马尔科夫链异常检测模型基础上,提出一种崭新的两层模型.将性质上有较大差异的两个过程,不同的请求和同一请求内的系统调用序列,分为两层,分别用不同的马尔可夫链来处理.两层结构可以更准确地刻画被保护服务进程的动态行为,因而能较大地提高异常的识别率,降低误警报率.而且异常检测出的异常将被限制在相应的异常真正发生的请求区内.检测模型适合于针对特权进程(特别是基于请求?反应型的特权进程)的异常入侵检测.     

基于系统调用的异常入侵检测研究

基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一。通过分析系统调用序列来判断入侵事件,具有准确性高、误警率低和稳定性好等优点,目前,国际上在这方面的研究主要集中在如何设计有效的检测算法以提高检测效果。该文对目前国际上基于系统调用的异常入侵检测方面的研究进展进行了总结,对主要的检测技术进行了详细讨论和分析。     

基于隐马尔可夫模型的异常检测

首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测     

基于隐Markov模型的协议异常检测

入侵检测是网络安全领域的研究热点,协议异常检测更是入侵检测领域的研究难点.提出一种新的基于隐Markov模型(HMM)的协议异常检测模型.这种方法对数据包的标志位进行量化,得到的数字序列作为HMM的输入,从而对网络的正常行为建模.该模型能够区分攻击和正常网络数据.模型的训练和检测使用DARPA1999年的数据集,实验结果验证了所建立模型的准确性,同现有的基于Markov链(Markov chain)的检测方法相比,提出的方法具有较高的检测率.     

基于Markov Chain的协议异常检测模型

本文介绍了基于Markov链的协议异常检测模型,此外,通过对MIT Lincoln实验室1999评估数据的分析,证明此模型的正确性和有效性。