一种用于异常检测的系统调用参数及序列分析算法

本文基于异常检测技术及相关理论,提出了一种综合系统调用参数及调用序列的异常检测算法,该算法通过系统调用参数和序列构建具备更多特征信息的正常行为签名,从而提高入侵检测系统的检测效率及检测准度。     

利用KNN算法实现基于系统调用的入侵检测技术

该算法来自一种文本分类算法-KNN算法,文中给出了用该算法实现的入侵检测系统模型.利用该算法实现的基于系统调用的异常入侵检测系统,克服了传统基于系统调用入侵检测方法的缺陷,实验结果体现了该方法的有效性和检测的高效性。     

基于统计语言模型的低耗时入侵检测方法

针对基于系统调用序列的入侵检测方法在实际应用中成本偏高的问题,在STIDE方法的基础上提出一种低耗时的入侵检测算法。利用N元语义模型分析系统调用序列规律,计算系统调用的贡献度,抽取最能体现用户正常行为的系统调用,建立正常模式库实现异常检测。实验结果证明,该算法在保证检测率不下降的同时,训练和检测系统调用短序列的规模降低70%。     

基于频率特征向量的系统调用入侵检测方法

针对基于系统调用的异常入侵检测方法中较难抽取正常系统调用序列的特征库问题,提出将正常系统调用序列抽取出的子序列的频率特征转换为频率特征向量,并以此作为系统调用序列的局部和全局特征;为了保证对大规模数据集检测的准确率和速度,采用一类分类支持向量机(SVM)分类器进行学习建模,利用先前建立的特征库进行训练,建立入侵检测分类模型,最后对于待检测序列进行异常检测。在多个真实数据集上与已有的异常入侵检测方法进行比较实验,结果表明本文提出的方法的多个异常检测指标都都优于已有方法。     

基于LDA模型的主机异常检测方法

基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类。为此,引进LDA(Latent Dirichlet Allocation)文本挖掘模型构建新的入侵检测分类算法。该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测。针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率。     

A HOST ANOMALY DETECTION METHOD BASED ON LDA MODEL

基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类.为此,引进LDA( Latent Dirichlet Allocation )文本挖掘模型构建新的入侵检测分类算法.该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测.针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率.     

基于改进隐马尔可夫模型的系统调用异常检测

针对隐马尔可夫模型计算开销过高的问题,提出了一种新的基于隐马尔可夫模型(Hidden Markov model,HMM)的异常检测方法,利用系统调用执行迹具有的局部规律性,用改进的HMM(Improved HMM,IHMM)学习算法来构建程序正常行为模型.在检测时,首先对待测系统调用数据用滑动窗口划分,并通过正常行为模型来判定异常,根据异常短序列占所有短序列的百分比来判断该进程是否行为异常.实验结果显示该方法训练耗时仅为传统方法的1%.当阈值在一个较大范围内变化时,模型的检测性能始终保持稳定.表明本文方法通过避免对大量相同短序列的重复计算,显著减少了训练时间和计算开销,在实际应用中具有良好的可操作性.     

基于粗糙集约简的进程系统调用序列异常检测方法研究

提出了一种基于粗糙集约简的系统调用序列异常检测方法，其基本思想是利用粗糙集约简来对第k个系统调用位置进行预测，把前k-1个位置视为条件属性集，第k个位置视为决策属性，通过Rough集约简方法得到一组预测第k个系统调用位置的最小规则集，进而可用于对实际进程的异常检测。基于合成的UNM sendmail系统调用数据的实验结果表明，本文所提出的异常检测算法性能好于Forrest等人的tide方法，与Wenke Lee等人的数据挖掘算法检测精度相当。但在选择较大的阈值时，漏报率更低。     

基于系统调用和数据溯源的PDF文档检测模型

针对传统静态检测及动态检测方法无法应对基于大量混淆及未知技术的PDF文档攻击的缺陷,提出了一个基于系统调用和数据溯源技术的新型检测模型NtProvenancer。首先,使用系统调用捕获工具收集文档执行时产生的系统调用记录;其次,利用数据溯源技术构建基于系统调用的数据溯源图;而后,用图的路径筛选算法提取系统调用特征片段进行检测。实验数据集由528个良性PDF文档与320个恶意PDF文档组成。在Adobe Reader上展开测试,并使用词频-逆文档频率（TF-IDF）及PROVDETECTOR稀有度算法替换所提出的图的关键点算法来进行对比实验。结果表明NtProvenancer在精确率和F1分数等多项指标上均优于对比模型。在最佳参数设置下,所提模型的文档训练与检测阶段的平均用时分别为251.51 ms以及60.55 ms,同时误报率低于5.22%,F1分数达到0.989。可见NtProvenancer是一种高效实用的PDF文档检测模型。     

基于系统调用的异常入侵检测

监视程序行为是近年基于主机的异常入侵检测的研究热点,构建程序行为模型是进行异常检测的关键。该文根据构建程序行为模型时,从系统调用抽取的信息和异常检测中使用的系统调用序列的粒度以及异常检测器记录的信息,分析和比较了基于程序行为的异常检测技术,并对该项研究作了展望。     

基于双频连续波雷达技术的木材中白蚁无损检测

提出了一个双频连续波雷达系统用于检测木材中的白蚁活动,建立了一个双频CW系统检测算法,利用接收信号的多普勒频移开发并测试了一个软件雷达系统,其中多普勒的变化反应白蚁的活动,同时分析了被腐蚀木材中白蚁的存活性.实验表明,通过调整木材和检测仪器的间距,对功率频谱和相位数据采集分析,结果确定木材和检测仪器的间距最小为50厘米;相位信息也是确定白蚁存在的一个重要的指标.     

风电叶片智能高效便携式C扫描超声检测系统开发

针对传统超声A扫探伤风电叶片存在检测效率低、员工劳动强度大、仪器智能化不够等问题,开发了一套实时显示并保存当前位置信息、波形信息和C扫描彩图的超声扫查系统.给出了系统硬件框图、基于LabVIEW软件设计界面以及C扫描成像框图.分别制作了不同缺陷风电叶片主梁和腹板粘接模型,以模型背面左下角为探伤坐标原点,采用相同的扫查参数设置和速度,对系统进行了实验.实验结果表明,系统能够有效检测粘接区域缺陷的种类、轮廓和位置,且运行稳定可靠.     

基于多代理的信息系统开发研究

探讨了基于多代理的信息系统在其生命周期的规划、分析、设计、实施和运行维护五个阶段的开发过程,提出了代理的评价模型,在代理的测试评价中引入评价代理,研究了多代理系统进化过程。在运行维护阶段,随环境的变化,系统逐渐以代理为单位逐渐进化。     

基于数据挖掘技术的Web应用异常检测

本文提出的异常检测系统以Web日志文件作为输入,利用数据挖掘技术建立两种异常检测模型,分别对待测的Web请求记录输出五个异常概率,对各概率进行加权处理后得到一个最终的异常概率。     

基于shell命令的内部攻击检测

信息系统不仅面临着外部攻击的威胁,同时也面临着来自系统内部的威胁。本文针对系统内部攻击,首先对信息系统的内部威胁和内部攻击进行简要阐述和分析。基于用户操作行为的一般规律,提出几种检测模型,通过对比检测结果找出检测效果好的检测模型。基于SEA公开数据集,采用词袋、TF-IDF、词汇表以及N-Gram几种方法进行特征提取,使用不同的机器学习算法建立检测模型,包括XGBoost算法、隐式马尔可夫和多层感知机(MLP)。结果显示：测试样本采用词袋+N-Gram特征模型和XGBoost学习算法的精确率和召回率较高,检测效果最好。     

海事监控视频舰船目标检测研究现状与展望

舰船目标检测是海域监控、港口流量统计、舰船身份识别以及行为分析与取证等智能海事应用的基石。随着我国海洋强国建设的推进,智慧航运和智慧海洋工程迅速发展,对通过海事监控视频开展有效的舰船目标检测识别以确保航运和海洋工程安全的需求日益紧迫。本文针对基于海事监控视频的舰船目标检测任务,回顾了舰船目标检测数据集及性能评价指标、基于传统机器学习和基于卷积神经网络的深度学习的目标检测方法等方面的国内外研究现状,分析了海洋环境中舰船目标检测任务面临的舰船目标尺度的多样性、舰船类别的多样性、海洋气象的复杂性、水面的动态性、相机的运动性和图像的低质量等技术难点,并通过实验验证,在多尺度特征融合、数据增广和能耗降低等方面提出了舰船目标检测的优化方法;同时,结合前人研究指出舰船目标检测数据集的发展应关注分类粒度的适宜性、标注的一致性和数据集的易扩充性,应加强对多尺度目标(尤其是小型目标)检测的模型结构的研究,为进一步提升舰船目标检测任务的综合性能,促进舰船目标检测技术的应用提供了新的思路。     

Probabilistic techniques for intrusion detection based on computeraudit data

This paper presents a series of studies on probabilistic properties of activity data in an information system for detecting intrusions into the information system. Various probabilistic techniques of intrusion detection, including decision tree, Hotelling's T² test, chi-square multivariate test, and Markov chain are applied to the same training set and the same testing set of computer audit data for investigating the frequency property and the ordering property of computer audit data. The results of these studies provide answers to several questions concerning which properties are critical to intrusion detection. First, our studies show that the frequency property of multiple audit event types in a sequence of events is necessary for intrusion detection. A single audit event at a given time is not sufficient for intrusion detection. Second, the ordering property of multiple audit events provides additional advantage to the frequency property for intrusion detection. However, unless the scalability problem of complex data models taking into account the ordering property of activity data is solved, intrusion detection techniques based on the frequency property provide a viable solution that produces good intrusion detection performance with low computational overhead     

基于多特征选取和类完全加权的入侵检测

为提升入侵检测系统的整体性能,文中提出一种新的算法。首先使用孤立点滤除算法进行数据前期处理,通过特征选取算法筛选出各分类器中最佳的特征空间,以增强各分类算法的训练模型。再进一步运用十倍交叉验证法对分类模型实施性能评估,把具有最佳捕捉率的分类模型作为预测测试样本类别时的加权分类模型,最后得出整体推论结果。仿真实验表明该算法整体分类准确率提高到96%,成本值减低为0.198 3,能够成功地改善网络异常入侵检测的分类性能。     

多尺度下幅度谱与相位谱相融合的视觉注意建模

针对现有大多数频域显著性检测算法仅单独使用频域幅度谱或相位谱的不足,提出了多尺度下频域幅度谱与相位谱相结合的视觉注意模型。该模型先对图像进行四元变换以得到幅度谱和相位谱,然后对幅度谱进行了伽马修正和高斯滤波,最后采用信息熵作为权重对多尺度显著图进行融合。在两个公开数据集Bruce和Judd上,采用ROC曲线、AUC值和F-Measure测量方法对算法进行了验证和评估。实验结果表明提出的算法优于现有的5种视觉注意模型,能够更准确地预测出人们注意的显著区域,取得了更令人满意的结果。     

Android malware detection based on system call sequences and LSTM

As Android-based mobile devices become increasingly popular, malware detection on Android is very crucial nowadays. In this paper, a novel detection method based on deep learning is proposed to distinguish malware from trusted applications. Considering there is some semantic information in system call sequences as the natural language, we treat one system call sequence as a sentence in the language and construct a classifier based on the Long Short-Term Memory (LSTM) language model. In the classifier, at first two LSTM models are trained respectively by the system call sequences from malware and those from benign applications. Then according to these models, two similarity scores are computed. Finally, the classifier determines whether the application under analysis is malicious or trusted by the greater score. Thorough experiments show that our approach can achieve high efficiency and reach high recall of 96.6% with low false positive rate of 9.3%, which is better than the other methods.