基于满十六叉有序树的程序行为建模搜索方法

A Method for Program Behavior Modeling and Searching Based on Full 16-ary Ordered Trees

下载PDF

导出

摘要程序行为建模及搜索是异常检测研究中的关键问题。本文提出利用系统调用发生时的程序计数器值对应的段号和段内偏移作为事件,将滑动窗口在有序事件上滑动得到事件序列集合,利用满十六叉有序树算法建立正常行为模型库。满十六叉有序树是为提高规则库的存储及搜索的效率而设计的,其存储的字节顺序隐含着结点间关系信息。在规则库中搜索某条规则的时间复杂度仅与树的深度有关,树的深度固定时的时间复杂度为O(1)。文中给出了满十六叉有序树的定义,分析了它的特点,并给出生成算法和搜索算法。 Program behavior modeling and searching is the key issue of anomaly detection. A method is presented, in which the segment ID and the offset of the program counter （PC）, when system calls are invoked,are used as events. The event sequence set is produced by sliding the window in orderly events, and a normal behavior model set is built by using full 16-ary ordered trees. A full 16-ary ordered tree is designed for improving the efficiency of storing and searching rule sets. The storage byte sequence in the full 16-ary ordered tree implies the relationship information between nodes. The time complexity of searching the rule set for a rule only relates to the depth of the tree, and if the depth of the tree is fixed, the time complexity is OCD. The definition of a full 16-ary ordered tree, its features, its creating and searching algorithms are presented.

作者骆玉霞刘金刚

机构地区中国科学院计算技术研究所

出处《计算机工程与科学》 CSCD 2007年第6期4-6,54,共4页 Computer Engineering & Science

关键词正常程序行为模型库事件满十六叉有序树异常检测 normal program behavior model event full 16-ary ordered tree anomaly detection

分类号 TP309 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献9

1Lhee K,Chapin S J.Buffer Overflow and Format String Overflow Vulnerabilities[J].Software-Practice & Experience,2003,33(5):423-460.
2Cowan C,Beattie S,Johansen J,et al.PointGuard TM:Protecting Pointers from Buffer Overflow Vulnerabilities[A].Proc of the 12th Usenix Security Symp[C].2003.91-104.
3Cowan C,Barringer M,Beattie S,et al.Formatguard:Automatic Protection from Printf Format String Vulnerabilities[A].Proc of the 10th USENIX Security Symp[C].2001.191-200.
4Kc G S,Keromytis A D,Prevelakis V.Countering Code-Injection Attacks with Instruction-Set Randomization[A].Proc of the 10th ACM Conf on Computer and Communications Security[C].2003.272-280.
5Vendicator.Stack Shield:A Stack Smashing Technique Protection Tool for Linux[EB/OL].http://www.angelfire.com/sk/stackshield/,2001-06.
6Liang Z,Sekar R.Automatic Generation of Buffer Overflow Attack Signatures:An Approach Based on Program Behavior Models[A].Proc of the 21st Annual Computer Security Applications Conf[C].2005.10-19.
7张衡,卞洪流,吴礼发,张毓森,崔明伟,曾庆凯.基于LSM的程序行为控制研究[J].软件学报,2005,16(6):1151-1158. 被引量：5
8Feng H H,Kolesnikov O M,Fogla P,et al.Anomaly Detection Using Call Stack Information[A].Proc of the 2003 IEEE Symp on Security and Privacy[C].2003.62-77.
9Xu J,Kalbarczyk Z,Iyer R K.Transparent Runtime Randomization for Security[A].Proc of the 22nd Int'l Symp on Reliable Distributed Systems[C].2003.260-269.

二级参考文献2

1郭建龙,张维明,曹阳,徐磊.应用机器学习制定的入侵检测专家系统规则集[J].计算机工程,2002,28(7):69-71. 被引量：9
2刘海峰,卿斯汉,蒙杨,刘文清.一种基于审计的入侵检测模型及其实现机制[J].电子学报,2002,30(8):1167-1171. 被引量：15

共引文献4

1张浩.Linux安全模块在安全审计系统中的应用[J].福州大学学报（自然科学版）,2008,36(2):203-207. 被引量：1
2王慧.一种基于树型结构的病毒检测策略[J].柳州职业技术学院学报,2008,8(2):78-82.
3苏朋,陈性元,唐慧林,祝宁.基于进程执行轮廓的缓冲区溢出攻击效果检测[J].计算机工程,2009,35(6):156-158. 被引量：1
4白杰.基于动态指令基因的病毒防护方法研究[J].电子技术应用,2012,38(10):143-146. 被引量：1

1鄢光辉,白云生.单片机应用系统抗干扰技术分析[J].电气技术,2006,7(5):57-60. 被引量：1
2王士辰.程序计数器失控后的自恢复[J].郑州牧业工程高等专科学校学报,2002,22(1):37-37.
3姜彬.单片机应用系统的软件抗干扰研究[J].信息与电脑（理论版）,2014,0(12):133-134. 被引量：1
4刘敏,黄蓉,陈亚莉.分布式系统中的进程、线程和处理机分配研究[J].企业家天地（中旬刊）,2009,0(7):163-164.
5Sowa.,M.采用程序计数器加速数据流计算机串行处理的方法[J].化工电子计算,1989(3):73-80.
6郭荣祥.防止单片机失控的新方法[J].包头钢铁学院学报,1992,11(1):18-22.
7赵智敏,陈静惠.实时微机程序计数器跟踪仪[J].电气自动化,1992(3):43-44.
8凌忠兴.单片机系统中软件运行的可靠性措施[J].电子制作,2007,15(12):50-52.
9张鹏,曾广周.基于Java的移动Agent强迁移技术研究综述[J].计算机工程,2004,30(22):4-5. 被引量：1
10谷京朝.8031 P2口兼作地址线/I/O口的方法[J].计算机技术与发展,1993,15(Z1):26-27.

计算机工程与科学

2007年第6期

浏览历史

内容加载中请稍等...

基于满十六叉有序树的程序行为建模搜索方法

参考文献9

二级参考文献2

共引文献4

相关作者

相关机构

相关主题

浏览历史