基于Windows NativeAPI序列的系统行为入侵检测

针对Windows系统入侵检测的不足,研究并借鉴Linux下基于系统调用序列进行入侵检测的方法,提出一种采用BP神经网络算法对Windows Native API序列学习和分类的内核级主机入侵检测方案。通过实验,验证了采用Windows Native API序列进行系统入侵的可行性。Native API是Windows系统内核模式下的API,可以类比于Linux下的系统调用。通过训练神经网络学习Native API序列,建立一个对正常和异常Native API序列进行分类的BP神经网络。在入侵检测时,利用训练后的神经网络对不断出现的Windows Native API序列进行分类,判断系统是否出现异常入侵。

一种基于图的异常入侵检测新算法

根据主机系统异常入侵过程中Windows native API序列的瞬时高频性,提出一种基于图的异常入侵检测算法。该算法首先将每个Native API映射成为图中的一个点,并以其为起点的子序列作为该点的路径、Native API的前后调用关系为边;其次,对图中每个点记录各自的路径,在这些点的路径中找到若干个圈,圈定义为因对同一个N-ative API重复调用而在图中出现的回路;然后,对组成圈的所有边权值根据一定规则更新;最后利用图的边与其邻边权值差计算出异常指数,判断该序列是否异常。实验结果表明该算法在Windows平台下能实时有效地检测出异常入侵和病毒的Native API序列。

基于多智能体的自动免疫接种模型

随着互联网的发展,网络风险随处可见,联网计算机迫切需要一种及时有效的方法来检测并避免网络风险。为了解决全网对网络入侵的快速检测和快速免疫问题,文章结合人工免疫思想和并行遗传算法提出了一种能够针对网络入侵,自动提取入侵疫苗,并对全网进行免疫接种的模型。模型中采用并行遗传算法提取疫苗,融合各个种群的优良个体得到最佳疫苗,通过基于关键主机的免疫信息发布算法对主机进行免疫接种,从而达到全网的免疫效果。

一种基于序列挖掘的网络入侵检测新方法

网络入侵检测是信息安全重要的研究问题。近年来,这方面的研究取得了很多很好的成果,但大部分方法面临检测率不高的特点。基于异常的入侵检测通常是人为选择网络连接属性,这些属性在正常和异常时具有比较明显的区别,以此来判断未知的网络连接正常与否。该方法具有一定的随机性,从而影响检测率。首先提出一种基于正常网络连接序列内在规则的属性选择算法,实现属性选择的自动化,并同时将多维序列压缩到一维序列;其次使用序列挖掘的方法训练网络连接得到正常规则库,然后利用正常网络连接规则库判断新的网络连接是否正常;最后,在KDD99数据集上进行试验,结果显示,算法检测率较高。

计算机病毒免疫信息网络发布算法

结合传统的网络拓扑结构和单机节点访问率,改进了无标度网络结构下病毒传播模型,进而提出了新的目标节点的定义。根据新的网络病毒传播模型,提出了一种基于门限判决的计算机病毒免疫算法。利用OPENET仿真实验平台,比较了该算法与以往免疫算法的性能和效率。仿真结果表明该算法免疫更少的节点即可达到全网免疫状态,且时间更快,效率更高。因此,该文算法能有效遏制病毒大规模爆发和传播,具有一定的社会意义和经济价值。