基于系统调用分类的异常检测

提出了一种新的基于规则的异常检测模型.把系统调用按照功能和危险程度进行了分类,该模型只是针对每类中关键调用(即危险级别为1的系统调用).在学习过程中,动态地处理每个关键调用,而不是对静态的数据进行数据挖掘或统计,从而可以实现增量学习.同时通过预定义,精炼规则,有效地减少了规则数据库中的规则数目,缩减了检测过程中规则的匹配时间.实验结果清楚地表明,检测模型可以有效侦测出R2L,R2R和L2R型攻击,而且检测出的异常行为将被限制在相应的请求内而不是整个系统调用迹.检测模型适合于针对特权进程(特别是基于请求--反应型的特权进程)的异常入侵检测.     

基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

基于马尔科夫链的主机异常检测方法研究

提出了基于马尔科夫链模型的主机异常检测方法,首先提取特权进程的行为特征,并在此基础上构造Markov模型。由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况。利用Markov模型的构造充分提取特权进程的局部行为特征的相互关系。实验表明该模型算法简单、实时性强、检测率高、误报率低、适合用于在线检测。     

OMRDetector:一种基于深度学习的混淆恶意请求检测方法

Web恶意请求检测旨在快速精确地识别网络中的异常攻击.当前Web恶意请求复杂多元、混淆明显,传统的检测技术存在过度依赖人工经验和规则库、易被绕过、误报率高,且忽略Web恶意请求特征语义关系等问题,无法第一时间感知未知网络攻击,无法对抗混淆和加密的恶意请求.为此,本文设计并首次将三层CNN-BiLSTM融合注意力机制的模型应用于混淆恶意请求检测领域,并针对混淆的Web恶意请求特点进行模型优化,提出了一种基于深度学习的混淆恶意请求检测模型OMRDetector.该模型针对混淆恶意请求特征,提出抗混淆预处理方法,利用三层卷积神经网络(CNN)获取Web请求的局部特征,再引入双向长短时记忆(BiLSTM)网络捕获混淆恶意请求的长距离依赖关系以及上下文语义特征,通过注意力机制突出关键特征,最终由Softmax分类器计算恶意请求的检测结果,从而实现对抗混淆和检测未知恶意请求攻击.实验结果表明,本文所提出的模型能有效检测出隐蔽性较高且带混淆加密的Web恶意请求,相比于现有模型在精确率、召回率、F₁值和准确率上均有所提升,对应值分别为97.734%、97.737%、97.735%...     

云环境基于系统调用向量空间的进程异常检测

传统主机领域下基于系统调用的入侵检测方案,往往针对单一特权进程的运行行为进行监控,而在云计算环境下引入了更多的安全风险,采用主机入侵检测方案难以有效检测虚拟机进程异常行为,对此,提出了一种基于系统调用向量空间的虚拟机进程行为检测模型.模型采用了无代理监控技术透明的采集虚拟机进程系统调用数据,引入了TF-IDF(term frequency-inverse document frequency)算法思想为进程系统调用数据进行加权,用于区分租户虚拟机中运行的不同服务,识别异常进程行为.此外,为优化检测算法效率,设计了行格式存储法 (compressed sparse row, CSR)稀疏矩阵与KD树(k-dimension tree)相结合的存储策略.最后在KVM (kernel-based virtual machine)虚拟化平台下设计并实现了VMPBD (virtual machine process behavior detecting)原型系统,针对Linux与Windows虚拟机进行了功能测试和性能测试.实验结果表明：VMPBD能有效检出虚拟机进程异常行为,检测误报率与系统性能开销在可接受范围以内.     

Linux进程行为结构提取与异常检测

研究了Linux进程行为结构及其异常检测问题。讨论了程序结构和程序踪迹之间的联系,认为正常运行的进程在整体结构上总具有一定的规律性,并据此提出了进程行为“结构异常”的概念。在此基础上,采用Markov链概率预报模型,提出了一种序列分段检测的新策略,将进程的结构异常检测和统计异常检测有机结合起来,实验结果初步表明该方法是可行、有效的。最后简要说明了方法的优点和不足。     

基于基因规划的主机异常入侵检测模型

异常检测技术假设所有的入侵行为都会偏离正常行为模式.尝试寻找一种新的异常入侵检测模型改善准确性和效率.模型利用应用程序的系统调用序列,通过基因规划建立了正常行为模式.模型的一个例程管理一个进程.当它发现进程的实际系统调用序列模式偏离正常的行为模式时,会将进程设标记为入侵,并采取应急措施.还给出了基因规划的适应度计算方法以及两个生成下一代的基本算子.通过与现有一些模型的比较,该模型具有更好的准确性和更高的效率.     

基于Linux系统调用的主机入侵检测系统的设计

现代计算机系统在稳定性和安全方面存在许多问题,大部分是由于异常的程序行为所导致,主机入侵检测系统能有效的检测程序异常活动.通过对Linux2.4内核的研究,以内核补丁的形式设计与实现了一个原型系统NUMEN,该系统采用前向序列对方法对系统调用序列进行分析,当检测到进程行为异常时,它将延迟该进程发起的系统调用请求,如果异常的出现是由于安全违规活动而引起的,NUMEN在破坏发生之前阻止攻击活动,确保系统的安全性.     

一种无线自组网的跨层异常入侵检测模型

提出一种Ad Hoc网络的跨层异常入侵检测模型.在MAC层、路由层和应用层分别运用朴素贝叶斯分类算法、Markov链构建算法和关联规则挖掘算法.本地汇总模块汇总本地三层子系统的检测结果,并加权平均后输出;全局汇总模块汇总邻节点检测结果并加权计算最终结果送响应模块.对模型和算法进行多种典型攻击测试实验,结果表明模型具有较高的检测率,并能有效降低误警率.     

基于硬件虚拟化的内核同层多域隔离模型

为了解决内核不可信带来的问题,很多工作提出了同层可信基的架构,即在内核同一硬件特权水平构建可部署安全机制的唯一保护域.但是,实际过程中往往面临多样化的安全需求,将多种对应的安全机制集中于唯一的保护域必然导致只要其中任何一个安全机制被攻陷,同一个保护域内其它所有安全机制都可能被攻击者恶意篡改或者破坏.为了解决上述问题,本文提出了内核同层多域隔离模型,即在内核同一硬件特权水平构建多个保护域实现了不同安全机制的内部隔离,缓解了传统方法将所有安全机制绑定在唯一保护域带来的安全风险.本文实现了内核同层多域隔离模型的原型系统Decentralized-KPD,其利用硬件虚拟化技术和地址重映射技术,将不同安全机制部署在与内核同一特权水平的多个保护域中,并不会引起较大的性能开销.总体而言,实验结果展示了内核同层多域隔离模型的安全性和实用性.     

基于系统呼叫和网络数据包的两层入侵检测模型

由于每种检测手段都有各自的优缺点,任何一种单独的检测手段或方式都不能够检测出所有的入侵行为.为了弥补这些缺陷和不足,该文提出了一种基于系统呼叫和网络数据包的两层入侵检测模型,这种模型有机地把两种入侵检测技术融合在一起,极大地提高了系统的安全性能.结果也表明,这种检测模型具有更好的检测效果和健壮性.     

基于线性预测与马尔可夫模型的入侵检测技术研究

入侵检测技术是现代计算机系统安全技术中的重要组成部分．该文提出了基于线性预测与马尔可夫模型相结合的入侵检测方法．首先提取特权进程的行为特征,引入时间序列分析技术——用线性预测技术对特权进程产生的系统调用序列提取特征向量来建立正常特征库,并在此基础上建立了马尔可夫模型．由马尔可夫模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况．然后,利用马尔可夫信源熵与条件熵进行参数选取,对模型进行优化,进一步提高了检测率．实验表明该算法准确率高、实时性强、占用系统资源少．     

基于系统调用的混合HMM/MLP异常检测模型

首先描述了基于隐马尔可夫模型(HMM)的异常检测方法并指出其缺点．然后提出了一种将多层感知机(MLP)用作HMM的概率估计器的方法,以克服HMM方法的不足．最后建立了一个基于系统调用的混合HMM/MLP异常检测模型,并给出了该模型的训练和检测算法．实验结果表明,该混合系统的漏报率和误报率都低于HMM方法．     

基于静态马尔可夫链模型的实时异常检测

马尔可夫链模型可以用来描述系统的正常行为模式,文中提出了一种基于静态马尔可夫链的异常检测方法,在此基础上进行了算法实现。实验结果表明该方法实现简单,准确率较高,可适用于不同环境下的实时检测。     

分类异常点检测算法及在IDS模型中的应用

在分析了各种异常点检测算法的基础上,提出了一种分类异常点检测算法,该方法能够对数据在各个方面表现出的异常情况进行全面检测,精确度高、时间消耗少。提出了一个入侵检测系统模型,包括异常检测层和误用检测层,在异常检测中应用了分类异常点检测方法,该模型可以明显减少系统的漏报率。     

基于隐马尔可夫模型的内部威胁检测方法

提出了一种基于隐马尔可夫模型的内部威胁检测方法.针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式.实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|λ)值太小而无法有效区分正常与异常的问题,检测性能更好.     

基于隐马尔可夫模型的网络入侵检测方法

介绍了基于隐马尔可夫模型的网络入侵检测系统的检测方法,并且建立了两个隐马尔可夫模型,通过对数据包的分析,得出系统的检测结果.实验数据表明,该方法能有效地提高异常检测效率,对入侵检测具有重要价值.     

基于改进遗传算法和隐Markov模型的协议异常检测方法

针对现有基于隐Markov模型的协议异常检测方法中存在的训练样本不足问题和初始参数敏感问题,提出一种基于改进遗传算法和隐Markov模型的协议异常检测新方法。首先,采用局部竞争选择策略、算术交叉算子和自适应非均匀变异算子改进遗传算法,避免传统遗传算法在收敛过程中的“早熟”和“停滞”问题;然后,利用改进的遗传算法优化隐Markov模型的初始参数,解决模型对初始参数敏感的问题;最后,以协议关键词和关键词时间间隔作为训练观测值,细粒度的描述协议行为,扩大模型的训练样本空间。在DARPA 1999数据集上的实验结果表明,该方法具有很高的检测率和较低的误报率。