基于隐马尔可夫模型(HMM)的系统调用异常检测

HMM用来检测一个系统调用短序列是否异常,根据异常系统调用短序列占该进程所有短序列的百分比来判断该进程是否是入侵.考虑到当一个入侵发生时,会产生大量的异常系统调用,导致其邻近系统调用与正常系统调用不匹配.为此我们对HMM的异常检测方法作了进一步改进,改进后的方法对异常更敏感,误报率更低.     

基于隐马尔可夫模型的ATM机用户异常行为识别

提出一种基于隐马尔可夫模型(hidden markov model,HMM)的ATM机异常行为识别方法.对ATM机前用户存(取)款行为的视频序列用Hu变换提取运动目标的行为特征,采用Baum-Welch算法对正常行为训练并建立隐马尔可夫模型,通过模型输出测试样本序列的概率来识别异常行为.用Matlab对ATM机用户运动行为的模拟视频进行实验仿真,结果表明:该方法对ATM机前的用户行为具有较高的识别率.     

一种分析系统调用序列的入侵检测系统设计与实现

结合程序局部性原理,提出系统调用序列中位置间的相关度定义.利用相关度给出了实际系统调用序列与正常系统调用序列间的模糊匹配方法,利用该方法判断应用程序运行状况,进行入侵检测.给出了一个采用该方法的主机入侵检测系统,说明了其整体结构设计、模块间调用关系、模块设计原理、模块实现方法及用于验证该入侵检测系统的实验环境.通过实验结果验证了检测方法是有效的.     

基于隐马尔可夫模型的无线局域网媒体接入控制层入侵检测方法

将无线局域网媒体接入控制(MAC)层字段作为检测入侵的分析对象,提出了基于隐马尔可夫模型(HMM)的无线局域网MAC层入侵检测方法.采用了基于控制台、服务器、代理的3层分布式无线局域网入侵检测框架;基于HMM模型对无线局域网的MAC帧头部进行建模;利用正常的无线局域网络数据对HMM进行训练,并记忆正常系统下的数据包行为.由此,检测发现了出现概率小的数据包或数据包序列,并制定了入侵检测阈值.试验结果表明,所提方法对已有的无线局域网MAC层攻击的误报率和漏报率比较低,并能检测未知攻击.     

基于系统调用序列的状态转换检测新方法

以系统调用序列为对象提出一种新的状态转换检测方法，它结合历史系统调用序列和当前系统调用进行分析，提取直接和间接转换，并采用多元统计方法为转换加入参数，累计异常度．测试表明该模型有较高检测率和可操作性，比原方法更能有效得检测出未知类型入侵．     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...     

无线局域网基于静态马尔可夫链的异常检测技术研究

本文利用马尔可夫模型建立了一个正常集,也就是统计模型,通过计算该模型对一个实际观测序列的支持概率来判断是否存在异常行为,并给出基于静态马尔可夫链的检测算法,最后给出试验结果.     

利用系统调用序列检测入侵的一种新方法

提出了一种使用系统调用序列检测入侵的新算法．算法利用了一种称为权值树的数据结构，首先使用正常权值树序列生成权值树森林，为了学习新的模式和消除杂质，权值树还可以被定期修剪．然后扫描异常调用序列，通过权值树得到对应的权值序列，这些权值序列能够显示是否出现了异常．实验取得了理想的结果．     

"免疫系统"方法在系统级入侵检测中的应用

"免疫系统"方法是在研究了特权程序对应的系统调用短序列具有很强的稳定性的基础上提出的.一个基于"免疫系统"方法的 Linux 系统级入侵检测模型,并讨论了此入侵检测模型的实现技术.     

深度防卫的自适应入侵检测系统

为了全面检测黑客入侵和有效提高检测精度,提出了一种深度防卫的自适应入侵检测系统模型.该模型按照黑客入侵对系统影响的一般顺序,使用不同方法对网络行为、用户行为和系统行为3个层次涉及到的网络数据包、键盘输入、命令序列、审计日志、文件系统和系统调用进行异常检测,并利用信息融合技术来融合不同检测器的检测结果,从而得到合理的入侵判定.在此基础上,提出了系统安全风险评估方法,并由此制定了一种简单、高效的自适应入侵检测策略.初步实验结果表明,所提的深度防卫自适应入侵检测模型能够全面、有效地检测系统的异常行为,可以自适应地动态调整系统安全与系统性能之间的平衡,具有检测精度高、系统资源消耗小的优点.     

Intrusion Detection Method for Program Vulnerability via Library Calls

Library function call sequence is the direct reflection of a program＇s behavior. The relationship between program vulnerability and library calls is analyzed, and an intrusion detection method via library calls is proposed, in which the short sequences of library call are used as signature profile. In this intrusion detection method, library interposition is used to hook library calls, and with the discussion of the features of the library call sequence in detail, an algorithm based on information-theory is applied to determine the appropriate length of the library call sequence. Experiments show good performance of our method against intrusions caused by the popular program vulnerabilities.     

异常检测中单类分类算法和免疫框架设计

基于主机系统执行迹的异常检测系统可以检测类似U2R和R2L这两类攻击。由于攻击数据难以获取,往往只能得到正常的系统调用执行迹数据。该文设计了基于自组织特征映射的单类分类器的异常检测模型,只利用正常数据建立分类器,所有偏离正常模式的活动都被认为是入侵。通过对主机系统执行迹数据集的测试,试验获得了对异常样本接近100％的检测率,而误报警率为4．9％。该文将单类分类器作为抗体检测器,运用人工免疫学原理建立了分布式的异常检测框架,使入侵检测系统具有分布式、自组织和高效的特性,为建立分布式的入侵检测提出一种新的思路。     

基于免疫学的入侵检测系统模型

随着网络安全问题日益突出 ,入侵检测越来越受到关注 ,针对目前各种类型的防火墙和防病毒软件都存在一定的缺陷 ,该文基于仿生学的免疫原理 ,将肽链定义为在网络操作系统中由授权程序执行的系统调用短序列 ,提出了一种新型的入侵检测系统———基于免疫学的入侵检测系统 ,并对其主要功能模块 :免疫计算机和监控器进行了分析。该系统可有效地提高系统实时检测和响应入侵的能力     

基于数据挖掘的主机入侵行为检测

提出利用序列模式挖掘方法得到频繁入侵命令序列，将频繁入侵命令转换为底层入侵检测器的检测规则用于检测用户的可疑行为．为了消除误报，设计了一个基于入侵事件状态的关联引擎，将频繁入侵命令序列作办关联规则，并提出了一种新的入侵关联算法，该算法不仅考虑了每类主机入侵行为的序列特征，也反映了不同类型主机入侵行为之间的因果关系，体现了主机入侵行为的多样性和复杂性．实验结果表明，该入侵关联模型对各类主机入侵行为的检测效果良好，误报率明显降低，特别是下载类和信息获取类主机入侵行为的误报降低了20%左右。     

An Intrusion Detection Method Based on Hierarchical Hidden Markov Models

This paper presents an anomaly detection approach to detect intrusions into computer systems. In this approach, a hierarchical hidden Markov model （HHMM） is used to represent a temporal profile of normal behavior in a computer system. The HHMM of the norm profile is learned from historic data of the system＇s normal behavior. The observed behavior of the system is analyzed to infer the probability that the HHMM of the norm profile supports the observed behavior. A low probability of support indicates an anomalous behavior that may result from intrusive activities. The model was implemented and tested on the UNIX system call sequences collected by the University of New Mexico group. The testing results showed that the model can clearly identify the anomaly activities and has a better performance than hidden Markov model.     

基于系统调用的安卓寄生木马的检测

在基于安卓操作系统的手机中,很多安全检测软件对独立存在的木马有很好的防范能力,却很难检测出依附于正常程序的寄生木马,文中提出一种新的安卓寄生木马检测方法,通过检测手机发送的数据包实时确定发送包的端口,再根据已确定的端口和系统提供的信息,将会发现通过该端口发送包的进程,接着追踪到创建该进程的应用程序,最后通过分析程序的系统调用序列判断其是否有寄生木马,仿真实验显示该方法可以有效地检测出安卓寄生木马。