基于系统调用分类的异常检测(英文) 被引量：27

Anomaly Detection Based on System Call Classification

下载PDF

导出

摘要提出了一种新的基于规则的异常检测模型.把系统调用按照功能和危险程度进行了分类,该模型只是针对每类中关键调用(即危险级别为1的系统调用).在学习过程中,动态地处理每个关键调用,而不是对静态的数据进行数据挖掘或统计,从而可以实现增量学习.同时通过预定义,精炼规则,有效地减少了规则数据库中的规则数目,缩减了检测过程中规则的匹配时间.实验结果清楚地表明,检测模型可以有效侦测出R2L,R2R和L2R型攻击,而且检测出的异常行为将被限制在相应的请求内而不是整个系统调用迹.检测模型适合于针对特权进程(特别是基于请求--反应型的特权进程)的异常入侵检测. The aim of this study is to create a new anomaly detection model based on rules. A detailed classification of the LINUX system calls according to their function and level of threat is presented. The detection model only aims at critical calls (i.e. the threat level 1 calls). In the learning process, the detection model dynamically processes every critical call, but does not use data mining or statistics from static data. Therefore, the increment learning could be implemented. Based on some simple predefined rules and refining, the number of rules in the rule database could be reduced, so that the rule match time can be reduced effectively during detection processing. The experimental results demonstrate that the detection model can detect R2L, R2R and L2R attacks. The detected anomaly is limited in the corresponding requests, but not in the entire trace. The detection model is fit for the privileged processes, especially for those based on request-responses.

作者徐明陈纯应晶

机构地区浙江大学计算机科学与工程学系

出处《软件学报》 EI CSCD 北大核心 2004年第3期391-403,共13页 Journal of Software

关键词入侵检测系统调用异常检测分类 Classification (of information) Learning systems Software prototyping

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献18

1Debar H, Dacier M, Wespi A. Toward a taxonomy of intrusion-detection systems. Computer Networks, 1999,31(8):805-822.
2Ye N, Li XY, Chen Q, Emran SM, Xu MM. Probabilistic techniques for intrusion detection based on computer audit data IEEE Trans. on Systems, Man, and Cybernetics-Part A: Systems and Humans, 2001,31(4):266-274.
3Ko C, Fink G, Levitt K. Automated detection of vulnerabilities in privileged programs byexecution monitoring. In: Proc. of the 10th Annual Computer Security Applications Conf Orlando: IEEE Computer Society Press 1994. 134～144.
4Bernaschi M, Gabrielli E, Mancini LV. REMUS: A security-enhanced operating system. ACM Trans. on Information and System Security, 2002,5(1):36-61.
5Goldberg I, Waqner D, Thomas R, Brewer EA. A secure environment for untrusted helper applications. In: Proc. of the 6th USENIX UNIX Security Symp San Jose: USENIX, 1996. 1-13.
6Marty R. Snort-Lightweight intrusion detection for networks In: Proc. of the 13th Conf. on Systems Administration. Washington:USENIX, 1999.229-238.
7Warrender C, Forrest S, Pearlmutter B. Detecting intrusions using system calls:alternative data models. In: Proc. of the 1999 IEEE Symp. on Security and Privacy. Oakland: IEEE Computer Society Press, 1999. 133～145.
8Hofmeyr SA, Forrest S, Somayaji A. Intrusion detection using sequences of system calls Journal of Computer Security, 1998,6(3):151-180.
9Lee W, Stolfo S J, Chan PK, Eskin E, Fan W, Miller M, Hershkop S, 2hang J. Real time data mining-based intrusion detection. In:Proc. of the 2nd DARPA Information Survivability Conf & Exposition II. Anaheim: IEEE Computer Society Press, 2001.89 ～100.
10Lee SC, Heinbuch DV. Training a neural-network based intrusion detector to recognize novel attacks, IEEE Trans. on Systems,Man, and Cybernetics-Part A: Systems and Humans, 2001,31(4):294-299.

同被引文献396

1王晓霞,唐耀庚,徐宗杨.一种基于改进的BP神经网络的入侵检测方法[J].计算机时代,2009(3):13-15. 被引量：4
2罗隽,丁力,潘志松,胡谷雨.异常检测中频率敏感的单分类算法研究[J].计算机研究与发展,2007,44(z2):235-239. 被引量：3
3卿斯汉,蒋建春,马恒太,文伟平,刘雪飞.入侵检测技术研究综述[J].通信学报,2004,25(7):19-29. 被引量：234
4沈昌祥,张焕国,王怀民,王戟,赵波,严飞,余发江,张立强,徐明迪.可信计算的研究与发展[J].中国科学：信息科学,2010,40(2):139-166. 被引量：253
5张相锋,孙玉芳,赵庆松.基于系统调用子集的入侵检测[J].电子学报,2004,32(8):1338-1341. 被引量：10
6曹元大,徐漫江.一种基于系统调用分析的入侵检测方法及其应用[J].计算机工程,2004,30(15):114-116. 被引量：1
7冯力,管晓宏,郭三刚,高艳,刘培妮.采用规划识别理论预测系统调用序列中的入侵企图[J].计算机学报,2004,27(8):1083-1091. 被引量：11
8张晓磊,张晓明.基于堆栈的缓冲区溢出攻击原理[J].广州大学学报（自然科学版）,2004,3(4):329-332. 被引量：4
9尹清波,张汝波,李雪耀,王慧强.基于动态马尔科夫模型的入侵检测技术研究[J].电子学报,2004,32(11):1785-1788. 被引量：9
10杜晔,王慧强,庞永刚.一种基于均值Hamming距离的异常入侵检测方法[J].系统仿真学报,2004,16(12):2853-2856. 被引量：1

引证文献27

1高超,王丽君.基于系统调用的入侵检测技术研究[J].信息安全与通信保密,2005(7):332-336. 被引量：3
2陈鹏,秦拯,龚发根.网络入侵检测系统中多模式匹配算法的研究[J].科学技术与工程,2005,5(13):914-916. 被引量：2
3吴庆涛,邵志清.入侵检测研究综述[J].计算机应用研究,2005,22(12):11-14. 被引量：19
4李凌楠,岳兵.基于系统调用序列的状态转换检测新方法[J].天津理工大学学报,2006,22(1):9-12.
5黄金钟,朱淼良,郭晔.基于文法的异常检测[J].浙江大学学报（工学版）,2006,40(2):243-248. 被引量：3
6高超,王丽君.数据挖掘技术在基于系统调用的入侵检测中的应用[J].鞍山科技大学学报,2006,29(1):45-49. 被引量：3
7王志欣.天健的商道[J].软件世界,2006(23):30-30.
8王彩荣.入侵检测模型实用分析与研究[J].计算机安全,2007(10):44-46.
9陆炜,曾庆凯.一种基于控制流的程序行为扩展模型[J].软件学报,2007,18(11):2841-2850. 被引量：8
10张相华,李继伟,江朝晖,冯焕清.系统调用序列分类的Motif方法及其在异常诊断中的应用[J].小型微型计算机系统,2008,29(8):1445-1449.

二级引证文献79

1袁磊.基于数据挖掘的入侵检测模型设计与应用[J].科技资讯,2007,5(19):95-96.
2张克柱.基于数据挖掘的校园网入侵检测系统研究与应用[J].河北北方学院学报（自然科学版）,2014,30(3):28-30.
3黄杰,李涛.基于免疫原理的非法系统调用的检测[J].计算机应用研究,2007,24(8):165-166.
4邹文.浅谈入侵检测技术及其发展[J].企业技术开发,2008,27(4):25-26. 被引量：4
5曹娴静,黄小键.基于内容过滤的模式匹配算法比较[J].情报探索,2009(1):92-94. 被引量：1
6陶敬,马小博,赵娟,郑庆华.基于资源可用性的主机异常检测[J].电子科技大学学报,2007,36(S3):1449-1452. 被引量：3
7轩璐,水俊峡.入侵检测系统中模式匹配算法的改进[J].科技信息,2009(16):229-229.
8杨宏宇,朱丹,谢丰,谢丽霞.入侵异常检测研究综述[J].电子科技大学学报,2009,38(5):587-596. 被引量：16
9谭林.基于数据挖掘的入侵检测模型设计与应用的研究[J].中国科技财富,2010(6):12-12.
10何加浪,徐建,张宏.一种基于环境约束的异常程序行为模型[J].计算机科学,2010,37(5):112-114.

1张咏柠.电力系统继电保护中的自动化策略研究[J].华东科技（学术版）,2014(6):209-209.
2赛门铁克软件出现“高危漏洞”可招致远程攻击[J].华南金融电脑,2006,14(1):21-22.
3赵晖,李刚.口令的危险级别及其安全性[J].哈尔滨市经济管理干部学院学报,2000(3):69-69.
4付海鹏.口令的危险级别及其安全性[J].保密工作,2000(1):26-27.
5陈君,程卫坤,黄干平.基于系统调用的实时IDS方案[J].武汉大学学报（理学版）,2005,51(S2):147-150.
6全亮亮,吴卫东.基于支持向量机和贝叶斯分类的异常检测模型[J].计算机应用,2012,32(6):1632-1635. 被引量：7
7蒲石.基于贝叶斯优化算法的入侵检测技术研究[J].电脑知识与技术,2010(01X):696-697. 被引量：1
8李享梅,张仕斌.基于NN多分类器组合的入侵检测方法[J].微计算机信息,2009,25(24):59-61.
9徐明,陈纯,应晶.一个两层马尔可夫链异常入侵检测模型(英文)[J].软件学报,2005,16(2):276-285. 被引量：7
10姚世选,李秋宝,王剑新,康相玖,仲崇权.基于CCD的自主机器人高速运行控制算法设计[J].传感器与微系统,2013,32(4):125-127.

软件学报

2004年第3期

浏览历史

内容加载中请稍等...

基于系统调用分类的异常检测(英文) 被引量：27

参考文献18

同被引文献396

引证文献27

二级引证文献79

相关作者

相关机构

相关主题

浏览历史