基于隐马尔可夫模型的程序行为异常检测

针对入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于隐马尔可夫模型的程序行为异常检测新方法．该方法以程序正常执行过程中产生的系统调用序列为研究对象，建立计算机的正常程序行为模型．在入侵检测时，先对测试的系统调用数据用滑动窗口划分得到短序列，再根据正常程序行为的隐马尔可夫模型求得每个测试短序列的输出概率，如果系统调用短序列的输出概率低于给定阈值，则将该短序列标定为“不匹配”，如果测试数据中不匹配的短序列数占总短序列数的百分比超过另一给定阈值，该模型就认为此程序行为异常．实验结果表明，与Forrest和Lee的方法相比，所提方法的检测率的最大提高率可达590％．     

基于隐马尔可夫模型(HMM)的系统调用异常检测

HMM用来检测一个系统调用短序列是否异常,根据异常系统调用短序列占该进程所有短序列的百分比来判断该进程是否是入侵.考虑到当一个入侵发生时,会产生大量的异常系统调用,导致其邻近系统调用与正常系统调用不匹配.为此我们对HMM的异常检测方法作了进一步改进,改进后的方法对异常更敏感,误报率更低.     

基于主机系统调用序列的实时入侵检测系统的模型研究

首先介绍了基于主机系统调用的入侵检测的概念,进而说明了研究基于主机系统调用序列的实时入侵检测系统的重要性;然后提出了该系统的模型设计方案,包括结构分析、接口设计和相关算法;最后给出了仿真实验和实验数据分析。     

一种分析系统调用序列的入侵检测系统设计与实现

结合程序局部性原理,提出系统调用序列中位置间的相关度定义.利用相关度给出了实际系统调用序列与正常系统调用序列间的模糊匹配方法,利用该方法判断应用程序运行状况,进行入侵检测.给出了一个采用该方法的主机入侵检测系统,说明了其整体结构设计、模块间调用关系、模块设计原理、模块实现方法及用于验证该入侵检测系统的实验环境.通过实验结果验证了检测方法是有效的.     

基于API Hook的进程行为监控系统

基于API Hook的进程行为监控系统,利用钩子技术和内存保护技术,实现了透明地对客户机进程API调用行为的安全监控.首先通过对客户虚拟机的API函数设置钩子,截获虚拟机中的进程API调用行为;接着利用内存保护技术,对客户机的钩子进行隐藏和保护,保证行为监控对客户虚拟机的透明性;然后利用虚拟机管理器的隔离性,将安全工具放在安全域中,一方面防止恶意进程检测并且攻击安全工具,另外一方面解决恶意租户利用虚拟机进行攻击的问题;最后在截获客户虚拟机API调用的基础上,利用语义重构技术,对客户虚拟机进程创建、文件操作、注册表操作等行为进行细粒度监控.测试结果表明:(1)监控系统可以有效的截获客户虚拟机进程API调用,结合语义重构技术,监控系统能够有效地对进程创建、文件操作、注册表操作等进程行为进行监控;(2)针对单个Hook点性能测试表明,监控系统截获API调用对系统性能的影响为4.8%;(3)在文件监控方面,基于API Hook的进程行为监控系统相对于现有截获系统调用的监控系统性能提高73%.     

基于系统调用序列的状态转换检测新方法

以系统调用序列为对象提出一种新的状态转换检测方法，它结合历史系统调用序列和当前系统调用进行分析，提取直接和间接转换，并采用多元统计方法为转换加入参数，累计异常度．测试表明该模型有较高检测率和可操作性，比原方法更能有效得检测出未知类型入侵．     

CORBA系统中截获机制研究与实现

截获机制是CORBA系统集成新服务的规范的方法，介绍了截获机制产生的背景，分析了截获机制的原理和截获点的定义及其功能，指明了截获机制的核心在于如何在客户方和服务器方之间获得并且传递ORB核心内部信息，截获器贯穿从对象创建到服务响应的整个系统调用过程，并明确了在扩展新服务时要正确使用截获点所需遵循的语义规则，在此研究基础上，提出并实现了遵循可移植截获器规范的PI－ORBUS系统方案。针对该方案实现系统的性能测试结果，分析了服务器响应时间与截获实例数量之间的关系，探讨了影响服务器响应时间的主要因素，提出了优化系统性能的可能措施。     

射频隐身数据链的通信波形参数优化建模

针对数据链在恶劣环境下被截获概率过高的问题,建立了一种基于射频隐身的通信波形参数优化模型。基于环境感知系统得到的通信距离和截获距离等先验知识,该优化模型以原始消息序列长度、编码码率、扩频因子、调制方式和波形分集度为优化参数,以指定距离的通信速率和被截获概率为优化目标,通过归一化和线性加权变换得到总优化目标,最后使用遍历法得到总优化目标的最大值并将对应的通信波形参数作为最优解。仿真结果表明:当载体信息安全等级提高时,优化模型在约束值范围内将通信速率适度降低,将被截获概率从原来的8.6×10-7降低至6.9×10-9;当数据链处于最恶劣的环境时,相同平均通信速率条件下优化后数据链的被截获概率可降低至优化前的1/1 000,大大提高了射频隐身性能。     

关于在C类语言中内存泄露的探讨

检测内存泄漏的关键是要能截获对分配和释放内存的函数的调用。截获这两个函数,我们就能跟踪每一块内存的生命周期。     

"免疫系统"方法在系统级入侵检测中的应用

"免疫系统"方法是在研究了特权程序对应的系统调用短序列具有很强的稳定性的基础上提出的.一个基于"免疫系统"方法的 Linux 系统级入侵检测模型,并讨论了此入侵检测模型的实现技术.