基于生成对抗网络的系统调用主机入侵检测技术

程序的系统调用信息是检测主机异常的重要数据,然而异常发生的次数相对较少,这使得收集到的系统调用数据往往存在数据不均衡的问题。较少的异常系统调用数据使得检测模型无法充分理解程序的异常行为模式,导致入侵检测的准确率较低、误报率较高。针对以上问题,提出了一种基于生成对抗网络的系统调用主机入侵检测方法,通过对异常系统调用数据的增强,缓解数据不平衡的问题。首先将程序的系统调用轨迹划分成固定长度的N-Gram序列,其次使用SeqGAN从异常数据的N-Gram序列中生成合成的N-Gram序列,生成的异常数据与原始数据集相结合,用于训练入侵检测模型。在一个主机系统调用数据集ADFA-LD及一个安卓系统调用数据集Drebin上进行了实验,所提方法的检测准确率分别为0.986和0.989,误报率分别为0.011和0,检测效果优于现有的基于混合神经网络的模型、WaveNet、Relaxed-SVM及RNN-VED的入侵检测研究方法。

一种基于主动网络的入侵检测系统ANIDS

提出了一种基于主动网络的入侵检测系统框架ANIDS,它结合了基于主机的和基于网络的入侵检测系统的思想,具有灵活性好、可扩展性强以及高效率等优点。同时,由于主动网络的可编程特性,ANIDS还是一个集入侵检测、网络管理、网络监控三位一体的系统。

基于系统调用序列的车载主机设备入侵检测方法研究

列车内部的主机设备搭载Linux嵌入式操作系统,外部应用需要执行系统调用来访问系统内核。随着列车通信网络的兼容性和开放性不断提升,车载主机设备存在遭受网络攻击的风险。当网络攻击发生时,恶意程序同样会通过系统调用与内核产生交互并留下相应痕迹,因此可基于系统调用序列实现车载主机设备的入侵检测。文章分析了Linux系统结构和系统调用序列的原理,设计了包含特征提取、特征词袋处理、特征逆频率处理和特征降维的原始数据特征处理方法,构建了基于网格搜索-K近邻(Grid Search-K-Nearest Neighbor, GS-KNN)的入侵检测模型。试验证明,文章提出的方法准确率达到了96.62%,相较于其他轻量级算法存在优势,能够实现网络入侵的有效检测。

基于NIDS入侵检测模型的研究和探讨

本文首先介绍入侵检测系统的基本原理,包括检测方法和分析技术,然后给出了一个网络入侵检测具体模型和事例,阐述了NIDS的重要性以及将来发展的趋势。

网络入侵检测系统NIDS的新技术研究

该文在阐释入侵检测系统与网络入侵检测系统概念、原理的基础上,分析了现有网络入侵检测系统在攻击检测方面存在的不足与问题,并针对存在的问题提出了具体的改进策略与建议。以期对新型网络入侵检测系统的研究与应用有所启迪。

入侵检测系统的研究与一个基于LINUX的NIDS的实例

本文介绍了入侵检测系统(IDS)的发展历史、分类以及入侵检测系统的整体架构,并给出了一个基于Linux的网络入侵检测系统的实现,最后分析了入侵检测系统目前面临的主要问题。

基于Libpcap和Libnids的网络入侵检测系统(NIDS)设计与实现

本中设计并实现了一种在RedhatLinux操作系统下基于Libpcap、Libnids和Boyer-Moore算法的网络入侵检测系统,重点阐述了该系统的体系结构,入侵规则库的建立,基于BPF过滤机制的Libpcap数据包捕获技术,利用Libnids实现IP分片重组和TCP流重组技术。

一种Windows主机入侵检测实验系统

针对广泛使用的Windows平台,建立了一个基于主机的入侵检测实验系统。在深入分析Windows主机的安全特性的基础上,利用安全日志、系统日志、性能日志及文件完整性校验、注册表等多种信息,提出了18项入侵检测特征,并利用支持向量机建立入侵检测器,实现了对多种攻击的检测。实验结果表明,特征选取合理、检测方法有效。

基于实时击键序列的主机入侵检测

基于主机的入侵检测是保障计算机网络信息安全的重要手段之一 .该文在介绍击键特性及其识别算法的基础上 ,根据大量试验结果 ,确定将具体键的击键序列作为信息源 ,提出了一种改进的贝叶斯统计方法 ,实现了主机入侵检测 .该方法既能独立于用户名和口令之外对用户进行身份认证 ,又能动态监控用户击键的整个过程 .文中对系统实现的关键问题和检测结果进行了详细的分析和讨论 .

基于访问控制的主机异常入侵检测模型

结合访问控制和入侵检测各自的优势,在以访问控制为系统正常访问参考模式的条件下,提出了基于访问控制的主机异常入侵检测模型——ACB IDS。根据系统调用函数间的约束关系构建基于扩展有向无环图(DAG)的系统调用活动关联图,构建活动关联图的偏离函数,用于计算实际系统调用序列与活动关联图的匹配程度,以达到入侵检测的目的。实验结果表明,ACB IDS相对于传统的入侵检测具有较低的漏报率和误报率,并具有较高的运行效率。

基于网络和主机相结合的入侵检测技术

首先介绍了基于主机和基于网络的两种入侵检测系统的功能原理 ,在分析这两种系统功能原理的基础上 ,提出了基于网络和主机相结合入侵检测系统的工作流程和工作原理 ,进而阐明了当系统检测到有入侵情况下的应对措施 ,采用人工神经网络的入侵检测算法 ,提高了对入侵类型的判别能力 ,保证应对措施的正确 ,确保了系统的安全性。

主机日志分析及其在入侵检测中的应用

主机日志在入侵检测中有着不可替代的作用,通过深入分析主机日志可以发现系统的异常行为。该文分析了主机日志的构成,主机日志在计算机安全领域中的应用,并给出了常用的主机日志和基于主机日志的入侵检测系统。主机日志的分析方法有很多,文章对这些方法进行了分类并对它们进行了详细的讨论。最后,给出了一种基于主机日志分析的入侵检测通用模型。

基于windows NT主机入侵检测系统的文件和进程监控

主机入侵检测系统可以实时监测主机的各种状态，辨别可能发生的入侵行为或非法操作，在入侵行为发生的时候自动阻断非法操作，保护主机系统不受入侵。本文主要介绍了其中文件监控和进程监控这两个模块。

基于主机的入侵检测系统分析

入侵检测系统(IDS)在近二十年来成为一个非常活跃的研究和应用领域.同传统的操作系统加固技术和防火墙隔离技术等静态安全防御技术相比,IDS作为核心动态安全技术之一,通过分析、审计记录,识别系统中任何不应该发生的活动,做出记录、报警、阻断等相应的措施来报告、制止入侵活动,从而提供实时的入侵检测.

基于操作的多层次主机入侵检测模型与方法

提出了一个多层次的基于用户操作的入侵检测模型,并实现了其原型系统。在此模型中,检测系统从个层次监控用户在被保护计4算机系统上进行的操作,监测结果经过信息融合得到最终的入侵判断。该模型能够更容易地发现用户的异常行为,同时有效降低误报。结合原型实现还讨论了在各层次进行入侵检测的方法。

基于主机和网络的入侵检测技术的比较与分析

本文讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这两种方式融合在一起,以提供更加有效的入侵检测和保护措施.

Linux下主机入侵检测系统的研究

主机入侵检测系统主要是根据主机的进程、目录、文件、内存、TCP/IP端口以及到达主机的网络数据包等系统资源的变化情况,实时地判断主机是否被黑客入侵,并阻止黑客的进一步活动或通知防火墙阻断该黑客的源地址,本文主要介绍了当前较为流行的操作系统Linux下主机入侵检测系统的研究设计情况,它对设计其他操作系统平台如Unix、Windows2000下主机入侵检测系统及下一代安全防范系统都有一定的借鉴作用。

基于主机系统调用频率的容器入侵检测方法

容器技术由于其轻量级虚拟化的特点,已成为云平台中广泛使用的虚拟化技术,但它与宿主机共享内核,安全性和隔离性较差,易遭受泛洪、拒绝服务、逃逸攻击。为了有效检测容器是否遭受攻击,提出了一种基于主机系统调用频率的入侵检测方法,该方法利用不同攻击行为之间系统调用频率不同的特点,收集容器运行时产生的系统调用,结合滑动窗口和TF-IDF算法提取系统调用特征,通过对比特征相似度进行分类。通过实验验证,该方法的检测率可达97%,误报率低于4%。

一种基于系统调用的主机入侵检测及实现

大多数的入侵反映在操作系统内部就是一系列非法或异常的系统调用。根据这一思想,本文提出了一种基于系统调用的主机异常入侵检测及响应过程,并描绘了其实现原理。

基于网络的入侵检测系统和基于主机的入侵检测系统的比较分析

论述了基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)是现阶段主要构建入侵检测系统的两种方法。并重点比较分析了现存NIDS和HIDS的优缺点,只有NIDS和HIDS结合才是入侵检测发展的趋势。