关于Linux审计信息的获取

为了达到安全管理单机或网络系统的目的,需要全面地获取Linux系统下各种所需的审计信息。通过分析Linux内核源代码,并根据Linux系统提供的内核可加载模块以及系统调用的机制,找出获取Linux审计信息的方法。通过编写核心监控模块和记录构造模块,实出了在Linux系统下获取各种审计信息。证明了利用改造内核获取系统审计信息方法的可行性,并且克服了Linux系统原有日志信息的不足。     

一种分析系统调用序列的入侵检测系统设计与实现

结合程序局部性原理,提出系统调用序列中位置间的相关度定义.利用相关度给出了实际系统调用序列与正常系统调用序列间的模糊匹配方法,利用该方法判断应用程序运行状况,进行入侵检测.给出了一个采用该方法的主机入侵检测系统,说明了其整体结构设计、模块间调用关系、模块设计原理、模块实现方法及用于验证该入侵检测系统的实验环境.通过实验结果验证了检测方法是有效的.     

基于主机系统调用序列的实时入侵检测系统的模型研究

首先介绍了基于主机系统调用的入侵检测的概念,进而说明了研究基于主机系统调用序列的实时入侵检测系统的重要性;然后提出了该系统的模型设计方案,包括结构分析、接口设计和相关算法;最后给出了仿真实验和实验数据分析。     

关于系统调用的发展研究综述

我国近年来在系统调用方面的研究有了很大发展,其中在原理方面的成果主要有：系统调用的内核具体实现机制和系统调用与安全性;在应用方面的有：系统调用与操作系统安全,系统调用与入侵检测,系统调用与计算机免疫和系统调用与反病毒技术。     

基于多版本冗余进程的容侵系统

针对利用多样性防御入侵和容忍入侵的典型方法的不足,提出了一种在操作系统的系统调用层上实现的多版本冗余进程的容侵系统。采用指令集随机化实现了多版本的冗余进程,并且利用冗余进程间系统调用的一致性,通过封装Linux内核中系统调用,实现了容侵系统的分发器、比较器。实验证明:该系统能有效地容忍针对恶意代码注入类型的入侵。     

基于多代理的协同分布式入侵检测系统模型

给出了一种基于多代理的协同分布式入侵检测系统模型（CDIDS），该模型依靠基于主机的代理HIDA和基于网络的代理NIDA，运用异常检测与特征检测相结合的方式进行有效的入侵检测；在分布式的网络环境下，系统通过入侵检测控制中心实现检测／响应模块的协同工作，为单个主机的攻击与大规模的网络入侵提供应对策略，并采用协议分流的方式提高NIDA模块的性能。     

"免疫系统"方法在系统级入侵检测中的应用

"免疫系统"方法是在研究了特权程序对应的系统调用短序列具有很强的稳定性的基础上提出的.一个基于"免疫系统"方法的 Linux 系统级入侵检测模型,并讨论了此入侵检测模型的实现技术.     

一种基于注册表的分布式入侵检测系统

提出了一种基于Windows注册表的分布式入侵检测系统(RIDS)的结构。讨论了以Windows注册表作为检测分析数据源的优势以及恶意行为对注册表的影响。给出了RIDS信息源数据模型,入侵分析算法,传感器、检测器、数据仓库的构成。对该类入侵检测系统的研究,将有助于丰富基于主机的入侵检测系统的检测手段。     

一种基于进化神经网络的入侵检测实验系统

参照MIT Lincoln实验室的入侵检测实验方案,建立了一个基于Linux主机的入侵检测实验环境,提出了相应的入侵特征选择方案,并应用进化神经网络检测入侵,实现了对多种攻击的实时特征抽取及检测。实验表明：系统设计合理,特征抽取及检测方法有效,能较好地检测已知和未知入侵。     

基于Linux的小型网络入侵检测系统的设计与实现

采用C语言为程序设计语言,GTK为开发工具,MySQL为数据库平台,设计一个基于Linux的小型入侵检测系统.该系统的网络数据包捕获模块、网络协议分析模块、存储模块、响应模块、入侵事件检测模块、规则解析模块和界面管理模块等7个模块均获得实现.系统采用的技术路线和设计方法是有效和可行的.     

基于隐马尔可夫模型的程序行为异常检测

针对入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于隐马尔可夫模型的程序行为异常检测新方法．该方法以程序正常执行过程中产生的系统调用序列为研究对象，建立计算机的正常程序行为模型．在入侵检测时，先对测试的系统调用数据用滑动窗口划分得到短序列，再根据正常程序行为的隐马尔可夫模型求得每个测试短序列的输出概率，如果系统调用短序列的输出概率低于给定阈值，则将该短序列标定为“不匹配”，如果测试数据中不匹配的短序列数占总短序列数的百分比超过另一给定阈值，该模型就认为此程序行为异常．实验结果表明，与Forrest和Lee的方法相比，所提方法的检测率的最大提高率可达590％．     

Methods for Increasing Creditability of Anomaly Detection System

Based on Bayes‘ theorem we point out that the false positive rate must be lower than the intrusion base rate in order to make the Alarm Credibility Probability of the intrusion detection system exceed 50%. We present the methods that have been used in our developing intrusion detection system AIIDS (artificial immune intrusion detection systems) to increase the creditability of anomaly detection system. These methods include increasing the regularities of the system call trace by use of Hidden Markov Model (HMM), making every antibody or detector has finite lifetime, offering the detector a co-stimulate signal to illustrate whether there is damage in the system according to the integrity, confidentiality, or availability of the system resource.     

基于管理代理的分布式入侵检测系统设计

将网络管理系统与入侵检测系统相结合,建立基于管理代理的分布式入侵检测系统框架结构。研究管理代理的自治性、协同性以及管理代理间消息通信机制,建立管理代理的功能结构,设计基于遗传算法的调度Agent算法。从网络的各个层次分析管理信息库中与入侵检测有关的管理对象,建立检测规则库。完成分布式多层次结构化的具有自安全性的入侵检测系统的开发,达到管理代理对网络和主机监听目的。研究结果表明:根据攻击的本质特征,使用从管理信息库的统计数据中获取检测规则的方法,能有效实现对隐蔽和复杂攻击的检测。     

决策树与神经网络结合的入侵检测系统模型研究

入侵检测系统是保证网络信息安全的有力手段,文中提出一种结合决策树和神经网络的入侵检测系统框架。决策树分类方法把数据集划分为正常数据和入侵数据,并作为训练集分别用神经网络进行训练,改善了系统的检测精度并提高了对未知数据的检测能力。离线训练后的系统可以实现网络数据的实时检测,通过实验证明了此系统很好的检测效果和自适应能力。     

浅析入侵检测系统的有关问题

入侵检测系统是采用主动防御以保护信息系统安全的重要手段。阐述了入侵检测系统的概念、分类,探讨了入侵检测系统存在的问题及相应的解决方法,展望了入侵检测系统的发展趋势。     

基于流量分析的入侵检测系统研究

随着网络技术发展,信息系统的安全性日益成为政府、企业及事业部门越来越关注的重大问题,保障信息系统的安全性已经成为迫切的需要.现有的网络安全系统多采用基于规则入侵检测技术,因而误报率较高;本文根据对边检入侵检测系统测量分析的基础上提出基于流量的边检入侵检测系统,通过量化分析来预测入侵和DDOS攻击,从而保证网络的安全性.     

基于内部网络安全的防火墙系统的改进

针对传统的边界防火墙不能防范来自内部的攻击、效率较低和故障率高、网络应用受到结构性限制等问题,提出了把分布式防火墙系统和分布式入侵检测系统结合在一起的安全防御系统.由防火墙进行访问控制,入侵检测系统检测入侵行为并反馈入侵信息,中央控制平台对各模块统一管理和配置,从而为内部网络提供了立体的、多层次的防御.     

网络入侵检测技术研究

入侵检测是保护网络信息安全的重要途径。文章简要介绍了入侵和入侵检测的概念，以及入侵检测系统所具有的功能，并对4种主要的入侵检测方法进行了分析，重点阐述了一种适用于中小型网络环境的基于网络和主机相结合的入侵检测技术。     

一种基于CIDF的入侵检测系统模型

给出了一种基于CIDF的入侵检测模型，该模型同时运用异常检测与特征检测，能够较好地检测到各种攻击，而且可以在有噪声数据的情况下对系统进行训练，克服了一般的基于异常检测的入侵检测系统要求在无噪声数据的情况下进行训练的缺陷。通过CIDF通信协议，入侵检测系统还可以与其他的入侵检测系统通信，实现多个入侵检测系统协同工作，大大提高了入侵检测的效率和成功性。