基于系统调用的异常入侵检测研究

基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一。通过分析系统调用序列来判断入侵事件,具有准确性高、误警率低和稳定性好等优点,目前,国际上在这方面的研究主要集中在如何设计有效的检测算法以提高检测效果。该文对目前国际上基于系统调用的异常入侵检测方面的研究进展进行了总结,对主要的检测技术进行了详细讨论和分析。

基于访问控制的主机异常入侵检测模型

结合访问控制和入侵检测各自的优势,在以访问控制为系统正常访问参考模式的条件下,提出了基于访问控制的主机异常入侵检测模型——ACB IDS。根据系统调用函数间的约束关系构建基于扩展有向无环图(DAG)的系统调用活动关联图,构建活动关联图的偏离函数,用于计算实际系统调用序列与活动关联图的匹配程度,以达到入侵检测的目的。实验结果表明,ACB IDS相对于传统的入侵检测具有较低的漏报率和误报率,并具有较高的运行效率。

基于构造性核覆盖算法的异常入侵检测

将构造性核覆盖算法引入入侵检测研究中,提出了一种基于构造性核覆盖的异常入侵检测算法,用于监控进程的非正常行为.首先分析了核覆盖分类算法应用于入侵检测的可能性,然后具体描述了核覆盖算法在异构数据集下的推广,提出了基于核覆盖的异常入侵检测模型.并以sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程.最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法.

基于用户击键数据的异常入侵检测模型

改进了Apriori关联规则算法,通过对正常用户击键数据的规则挖掘,建立用户的正常特征轮廓,并以此对新用户的击键数据实行异常入侵检测.实验结果表明,本文提出的模型具有一定的入侵检测功能.

异常入侵检测系统虚警率问题研究

入侵检测系统的虚警率影响检测结果的可信性。通过分析入侵检测系统的可信问题及异常入侵检测系统的虚警率问题,提出了降低虚警率的方法:基于进程检测行为的入侵检测方法、多检测系统协作工作模式。重点描述了基于人工免疫思想,动态构建正常系统轮廓,抑制虚警率的方法,并对其进行了仿真实验。实验表明,本方法可以提高检测效率,有效降低系统虚警率。

基于句法模式识别的异常入侵检测技术研究

针对异常入侵检测存在的准确性差、速度慢的问题,提出一种基于句法模式识别的异常检测技术。该方法将句法模式识别技术应用到入侵检测中,通过该技术对结构的强大描述和识别能力,提高入侵检测的准确性和速度;描述了如何用句法模式识别技术建立程序执行的正常模型,以及如何使用模型检测入侵;并通过实验,验证了方法的有效性。

基于商空间粒度聚类的异常入侵检测

针对异常入侵检测技术中传统聚类方法需要被检测类大小均衡的问题,在商空间粒度理论的基础上,论述了商空间粒度变换可以使复杂问题在不同的粒度世界求解,最终使整个问题得到简化。分析了商空间划分与聚类操作的相似性,提出了基于商空间的粒度聚类方法。将该方法与入侵检测技术相结合,构建了基于商空间粒度聚类的入侵检测系统,用于对KDD CUP 1999数据集的异常入侵检测,实验结果表明该入侵检测系统的性能明显优于基于传统聚类方法的入侵检测系统,从而证明了该方法的正确性和有效性。

基于频繁子图挖掘的异常入侵检测新方法

针对传统的基于系统调用序列的异常入侵检测方法中离线学习过程对训练数据量过于依赖的问题,引入频繁子图挖掘理论,利用系统调用序列转换为有向图结构后所特有的衍生能力,能够以较小的训练数据规模获取数量可观且行之有效的衍生特征模式。实验结果表明,经扩充的特征模式集能够有效提高对未知程序行为的鉴别能力。同时,将系统调用序列的局部特性与全局特性相结合,为变长特征模式的提取提供了一个较为合理的参考。

基于核函数Fisher鉴别的异常入侵检测

将核函数方法引入入侵检测研究中,提出了一种基于核函数Fisher鉴别的异常入侵检测算法,用于监控进程的非正常行为。首先分析了核函数Fisher鉴别分类算法应用于入侵检测的可能性,然后具体描述了核函数Fisher鉴别算法在异构数据集下的推广,提出了基于核函数Fisher鉴别的异常入侵检测模型。并以Sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程。最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法。

一种无线自组网的跨层异常入侵检测模型

提出一种Ad Hoc网络的跨层异常入侵检测模型。在MAC层、路由层和应用层分别运用朴素贝叶斯分类算法、Markov链构建算法和关联规则挖掘算法。本地汇总模块汇总本地三层子系统的检测结果,并加权平均后输出;全局汇总模块汇总邻节点检测结果并加权计算最终结果送响应模块。对模型和算法进行多种典型攻击测试实验,结果表明模型具有较高的检测率,并能有效降低误警率。

基于免疫阴性选择算法的异常入侵检测

生物免疫系统的保护机制为我们设计计算机入侵检测系统带来了巨大的灵感,使得计算机免疫成为能解决复杂入侵问题的一种信息安全技术而备受关注.在本文中,我们提出一个新的异常入侵检测算法,该算法能够快速生成有效的检测器,并能实时检测入侵.

基于商空间粒度聚类的异常入侵检测

针对异常入侵检测技术中传统聚类方法需要被检测类大小均衡的问题,在商空间粒度理论的基础上,论述了商空间粒度变换可以使复杂问题在不同的粒度世界求解,最终使整个问题得到简化。分析了商空间划分与聚类操作的相似性,提出了基于商空间的粒度聚类方法,并将该方法与入侵检测技术相结合,构建了基于商空间粒度聚类的入侵检测系统,用于对KDD CUP 1999数据集的异常入侵检测。实验结果表明,该入侵检测系统的性能明显优于基于传统聚类方法的入侵检测系统,从而证明了该方法的正确性和有效性。

一种异常入侵检测系统误报率抑制方法

抑制入侵检测系统(IDS)的误报率是提高其检测结果可信性的重要途径。通过分析异常入侵检测系统的误报率问题,提出了基于人工免疫思想,动态构建正常系统轮廓,抑制误报率的方法。建立了自体、抗原、抗体的动态变化模型和演化机制,并进行了仿真实验。结果表明该方法可以有效降低异常入侵检测系统误报率。

异常入侵检测的聚类分析方法研究与应用

在异常入侵检测中使用聚类分析的方法能有效区分正常数据和入侵行为,文中针对K-means算法的缺陷,提出了K-means-pro算法,并利用KDD Cup 99数据集进行了聚类挖掘实验,具有较高的检测率和较低的误报率,达到了较好的效果。

一种基于傅立叶变换的异常入侵检测方法

利用傅立叶变换对一组从审计记录中获得的离散数据进行处理,介绍了选择傅立叶变换的系数的准则,它用来从一组系数中寻找出一个统一的标准值;并用这个值与一个门槛值相比较,以决定是否有异常情况发生,同时给出了一些测试结果。

一种异常入侵检测中新的HMM训练方法

隐马尔可夫模型(HMM)已经被证明是一个对系统正常行为建模的好工具,但是它的Baum-Welch训练算法效率不高,训练过程需要很大的计算机资源,在实际的入侵检测中效率是不高的.本文提出了一个高效的用多观察序列来训练HMM的训练方案,我们的实验结果显示我们的训练方法能比传统的训练方法节省60%的时间.

基于人工蜂群优化的密度聚类异常入侵检测算法

采用改进的人工蜂群优化算法解决密度聚类异常入侵检测中的参数和特征组合优化问题.首先,在初始化蜜源阶段采用不同的编码方法分别对参数和特征值进行编码;然后,在邻域搜索阶段利用两种搜索策略分别对参数和特征值进行搜索;最后,为满足异常入侵检测对低误报率的需求,在新的适应值函数中加入误报率影响因子.实验结果表明,基于人工蜂群优化的密度聚类异常入侵检测算法不仅提高了正常行为轮廓的精度,而且降低了计算开销和存储空间,并在一定程度上消除噪声特征的干扰,实现了检测性能的提升.

一种基于图的异常入侵检测新算法

根据主机系统异常入侵过程中Windows native API序列的瞬时高频性,提出一种基于图的异常入侵检测算法。该算法首先将每个Native API映射成为图中的一个点,并以其为起点的子序列作为该点的路径、Native API的前后调用关系为边;其次,对图中每个点记录各自的路径,在这些点的路径中找到若干个圈,圈定义为因对同一个N-ative API重复调用而在图中出现的回路;然后,对组成圈的所有边权值根据一定规则更新;最后利用图的边与其邻边权值差计算出异常指数,判断该序列是否异常。实验结果表明该算法在Windows平台下能实时有效地检测出异常入侵和病毒的Native API序列。

基于相空间重构和一类分类的异常入侵检测

结合相空间重构理论与一类分类方法提出网络异常入侵检测方法。该方法首先将网络数据序列映射到相空间 ,然后对相空间中的数据点实行一类分类。最后根据 KKT条件进行异常检测。仿真实验结果表明了该方法的可行性和有效性。

基于自组织数学模型的监控视频异常入侵检测方法

针对因背景变化造成的异常入侵检测准确性下降问题,提出了一种能够适应背景变化的基于自组织数学模型的监控视频异常检测方法.该方法基于监控视频中的输入激励,通过生成、更新、删除节点的方式,构建正常图像的表达模型,利用此模型内部的节点状态计算异常度,从而判断是否有异常入侵.实验证明,基于自组织数学模型的异常检测方法在固定镜头摄像机和旋转球机拍摄的场景中都能够有效检测到行人与车辆的异常入侵,性能显著优于高斯混合模型等常用检测方法,验证了方法的有效性.