基于系统调用的入侵检测技术研究

如今网络攻击的多样性与低成本性以及攻击工具的齐全使得网络攻击日益泛滥。对于防御者来说,遭受一次攻击的损失是巨大的,防御和攻击的不对等使得防御方往往处于被动和弱势的地位。入侵检测技术通过模型学习勾勒网络入侵行为轮廓或正常行为轮廓,从而实现对入侵行为的识别与检测,实现对零日攻击的检测能力。本文是对基于系统调用数据上的入侵检测的综述性文章,重点介绍了系统调用数据的特征提取方法、入侵检测分类模型、应用场景,同时简单概括了系统调用的数据集与模型的评判标准。     

一种改进的基于系统调用的入侵检测技术

随着恶意入侵计算机现象的日益严重 ,准确检测入侵的需求应运而生 .本文提出一种基于系统调用的入侵检测方法—— SGNN算法 .该算法解决了传统基于系统调用入侵检测方法的缺陷 ,不仅去除了降低检测效率的规则 ,同时能有效识别用户的误操作 .实验结果体现了该方法的有效性和检测的高效性     

基于系统调用的入侵检测系统研究

入侵检测是网络安全研究的热点技术之一,是新一代安全保障方案。该文实现了一种基于系统调用的异常入侵检测方法,使用系统调用作为输入,构建程序中函数的有限状态自动机,利用该自动机检测进程流程是否发生异常来确定是否发生了入侵。实验结果表明,该技术不仅能有效地检测出入侵行为,而且可以发现程序漏洞的位置,便于修改代码。     

一个基于系统调用的主机入侵检测系统的传感器实现方案

linux系统调用信息对于描述主机系统的安全状态有重要的作用,论文分析了linux系统调用信息在入侵检测中的应用;阐述了入侵检测系统HostKeeper中系统调用传感器的原形框架、软件设计和实现方法;并给出了利用linux系统调用信息进行入侵检测的实验结果。     

基于主机系统调用的*nix入侵检测技术的研究

本文首先介绍了主机系统调用的概念,在基于主机的入侵检测的基础之上强调了考察系统调用的 重要性。然后分析和比较了常用的三种基于主机系统调用的*nix入侵检测技术。最后还给出了基于主机系统 调用的入侵检测的优缺点。     

基于系统调用的异常入侵检测研究

基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一。通过分析系统调用序列来判断入侵事件,具有准确性高、误警率低和稳定性好等优点,目前,国际上在这方面的研究主要集中在如何设计有效的检测算法以提高检测效果。该文对目前国际上基于系统调用的异常入侵检测方面的研究进展进行了总结,对主要的检测技术进行了详细讨论和分析。     

基于HMM的系统调用序列异常入侵检测

本文首先介绍了入侵检测的发展状况,接着用马尔可夫和BW算法进行建模;然后以系统调用执行迹这类常用的入侵检测数据为例,验证该模型的工作效果,最后将计算机仿真结果与其他检测方法进行了比较。通过实验和比较发现,基于HMM的系统调用序列的异常检测率比其他方法有明显的提高。     

基于KNN算法的网络入侵检测技术开发

传统算法在网络入侵检测方面存在部分问题,为了进一步提升检测水平,在网络信息攻击手段日益增多的背景下,提出了一种基于最邻近结点（K-NearestNeighbor,KNN）算法的网络入侵检测技术方法。该方法将粒子优化解决局部极值问题,以实现改善网络入侵检测技术的目的。测试结果表明,基于KNN算法的网络入侵检测技术能够较好地识别攻击类型,其误检率显著优于Rabin-Karp、Boyer-Moore、Colussi这3种传统算法,验证了算法的有效性,能够较好地应用于网络入侵行为的预测,表现出良好的预测精度。     

基于系统调用顺序和频度特性的入侵检测模型

提出了一种将系统调用的顺序特性和频度特性相接合来构建入侵检测模型（COFIDS模型）的新方法，该模型采用kNN(k-Nearest Neighbor Classifier)算法实现入侵检测，并利用一种改进的相似因子，来增加系统调用序列间相似度的差别，减少了识别误差，提高了检测率，降低了入侵检测的误报率。实验表明，COFIDS还具有较强的抗噪声干扰的能力。抗噪声干扰的能力。     

基于系统调用分类的异常检测

提出了一种新的基于规则的异常检测模型.把系统调用按照功能和危险程度进行了分类,该模型只是针对每类中关键调用(即危险级别为1的系统调用).在学习过程中,动态地处理每个关键调用,而不是对静态的数据进行数据挖掘或统计,从而可以实现增量学习.同时通过预定义,精炼规则,有效地减少了规则数据库中的规则数目,缩减了检测过程中规则的匹配时间.实验结果清楚地表明,检测模型可以有效侦测出R2L,R2R和L2R型攻击,而且检测出的异常行为将被限制在相应的请求内而不是整个系统调用迹.检测模型适合于针对特权进程(特别是基于请求--反应型的特权进程)的异常入侵检测.     

基于系统调用的入侵检测规则的生成

由授权进程产生的系统调用短序列可作为计算机免疫系统中的“自我”标识。介绍如何利用数据挖掘技术在应用程序的系统调用数据集上进行分类挖掘,从而生成计算机免疫系统中的入侵检测规则,给出并分析了实验结果,发现用此方法生成的规则对未知数据进行分类有较高的准确率。     

一种融合Kmeans和KNN的网络入侵检测算法

网络入侵检测算法是网络安全领域研究的热点和难点内容之一。目前许多算法如KNN、TCMKNN等处理的训练样本集都比较小,在处理大样本集时仍然非常耗时。因此,提出了一种适应大样本集的网络入侵检测算法(Cluster-KNN算法)。该算法分为离线数据预处理(数据索引)和在线实时分类两个阶段:离线预处理阶段建立大样本集的聚簇索引;在线实时分类阶段则利用聚簇索引搜索得到近邻,最终采用KNN算法得出分类结果。实验结果表明:与传统的KNN算法相比,Cluster-KNN算法在分类阶段具有很高的时间效率,同时在准确率、误报率和漏报率方面与其它同领域入侵检测方法相比也具有相当的优势。Cluster-KNN能够很好地区分异常和正常场景,且在线分类速度快,因而更适用于现实的网络应用环境。     

基于退火遗传算法的入侵检测系统

该文针对现行入侵检测系统的特点,提出了一种基于退火遗传的入侵检测算法。通过实验结果分析得出,该方法比遗传算法具有更高的准确率和更好的收敛性。     

基于系统调用的神经网络异常检测技术

给出了一种基于程序行为的神经网络异常检测技术,通过使用ELMAN网络,利用了程序执行时的系统调用的周期重复特性,使该系统具有检测新型入侵攻击和具有较低虚警率的特点。     

基于量子免疫克隆算法的入侵检测系统

该文针对现行入侵检测系统的特点,提出了一种基于量子遗传克隆的入侵检测算法。通过实验结果分析得出,该方法比遗传算法具有更高的准确率和更好的收敛性。     

基于不定长系统调用序列模式的入侵检测方法

提出了一种不定长序列模式的寻找算法,目标是从训练序列中找出一组基本的、相对独立的不定长序列模式。并在模式集的更新过程中自动定义了模式间的前后次序关系,以此构建了一个描述进程执行模式的DFA。针对已有基于不定长序列模式的模式匹配算法需要向前预测若干个系统调用号的缺点,文章设计了一个更好的模式匹配算法。实验结果表明,算法在模式寻找过程中是稳定的,并在保持一组规模很小的模式集的情况下,取得了很低的误报率和漏报率。     

基于系统调用和数据挖掘的程序行为异常检测

异常检测是目前入侵检测研究的主要方向之一。该文提出一种新的程序行为异常检测方法,主要用于Linux或Unix平台上以系统调用为审计数据的入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度和可信度在训练数据中提取正常模式。在检测阶段,通过序列模式匹配对被监测程序的行为异常程度进行分析,提供两种可选的判决方案。实验结果表明,该方法具有良好的检测性能。     

基于k-means改进算法的入侵检测系统研究

入侵检测技术作为一种主动的网络安全防护技术越来越引起研究者的关注,该文以k-means算法为基础,对基于k-means算法的入侵检测系统进行了研究和分析,指出了传统k-means算法的不足,提出了相应的改进策略,在此基础上完成基于k-means改进算法的入侵检测系统的研究。