城市轨道交通列车融合检测主机系统研究

[目的]为了保障城市轨道交通的安全运营,满足对轨道障碍物以及弓网、走行部和轨道等关键部件的检测要求,以及解决当前各检测子系统相互独立、整车集成冗余的问题,需对列车融合检测主机系统进行研究。[方法]对主动障碍物检测子系统、弓网检测子系统、走行部检测子系统和轨道几何动态检测子系统进行融合设计,提出一种融合检测主机系统,其中:主动障碍物子系统直接通过交换机接入融合主机AI(人工智能)板;其余各子系统先接入前置主机进行数据预处理,再通过交换机接入融合主机的AI板。[结果及结论]该系统能够实时监测列车的运行状态和运行环境,及时发现潜在安全隐患并发出预警,为城市轨道交通的安全运营提供保障;与现有其他独立检测子系统相比,该系统打破了各检测子系统之间的壁垒,简化了整车集成,能缓解车载设备冗余问题,节约列车的整体功耗,降低系统成本,提高系统兼容性和可扩展性,以及提升系统配置、维护和监控等的效率。

基于系统调用的主机异常检测研究综述

系统调用记录了进程活动过程中最精确原始的行为信号,通过对应用程序与操作系统交互产生的系统调用进行分析,可以对进程的异常行为进行有效鉴别,保障主机的安全运行。对基于系统调用的主机异常检测的研究现状进行了梳理。首先介绍了异常检测常用数据集,其次总结了系统调用数据预处理的典型方法,然后详细分析和对比了系统调用异常检测常用算法和模型,并介绍了异常检测常用的评估指标,最后对未来研究方向及相关挑战进行了展望。

基于生成对抗网络的系统调用主机入侵检测技术

程序的系统调用信息是检测主机异常的重要数据,然而异常发生的次数相对较少,这使得收集到的系统调用数据往往存在数据不均衡的问题。较少的异常系统调用数据使得检测模型无法充分理解程序的异常行为模式,导致入侵检测的准确率较低、误报率较高。针对以上问题,提出了一种基于生成对抗网络的系统调用主机入侵检测方法,通过对异常系统调用数据的增强,缓解数据不平衡的问题。首先将程序的系统调用轨迹划分成固定长度的N-Gram序列,其次使用SeqGAN从异常数据的N-Gram序列中生成合成的N-Gram序列,生成的异常数据与原始数据集相结合,用于训练入侵检测模型。在一个主机系统调用数据集ADFA-LD及一个安卓系统调用数据集Drebin上进行了实验,所提方法的检测准确率分别为0.986和0.989,误报率分别为0.011和0,检测效果优于现有的基于混合神经网络的模型、WaveNet、Relaxed-SVM及RNN-VED的入侵检测研究方法。

针对系统调用的基于语义特征的多方面信息融合的主机异常检测框架

混淆攻击通过修改进程运行时产生的系统调用序列,可以在实现同等攻击效果的前提下,绕过主机安全防护机制的检测。现有的基于系统调用的主机异常检测方法不能对混淆攻击修改后的系统调用序列进行有效检测。针对此问题,提出了一种基于系统调用多方面语义信息融合的主机异常检测方法。从系统调用序列的多方面语义信息入手,通过系统调用语义信息抽象和系统调用语义特征提取充分挖掘系统调用序列的深层语义信息,利用多通道TextCNN实现多方面信息的融合以进行异常检测。系统调用语义抽象实现特定系统调用到其类型的映射,通过提取序列的抽象语义信息来屏蔽特定系统调用改变对检测效果的影响;系统调用语义特征提取利用注意力机制获取表征序列行为模式的关键语义特征。在ADFA-LD数据集上的实验结果表明,所提方法检测一般主机异常的误报率低于2.2%,F1分数达到0.980;检测混淆攻击的误报率低于2.8%,F1分数达到0.969,检测效果优于对比方法。

基于K近邻算法的主机异常行为检测

基于主机异常的入侵检测方法可以识别用户操作是否存在异常,从而提醒用户进行处理以保证系统安全。为了能够快速高效地识别用户操作异常,文章提出了基于K近邻算法的主机异常检测方法。该方法首先在特征提取过程中使用自然语言处理的算法来提取特征向量,然后采用主成分分析算法进行降维处理,接着使用K近邻算法学习主机的正常操作和异常操作的相关特征,建立检测模型,最后使用学习后建立的模型来判断主机是否存在异常操作。该方法采用澳大利亚国防学院的ADFA-LD数据集进行实验,验证了所提出方法性能良好。

基于支持向量机的主机异常行为检测方案

介绍了一种基于支持向量机算法的主机异常检测方案,旨在迅速且精准地发现用户操作中的异常行为,并及时提醒管理人员采取干预措施,从而确保系统的整体安全。方案首先通过自然语言处理技术来提取特征,并构建出特征向量;然后采用主成分分析算法降维处理特征数据,以提升后续处理的速度和效率;其次,运用支持向量机算法学习并区分主机的正常操作和异常操作模式,进而构建出高效的检测模型;最终,利用训练完备的模型实时检测主机是否存在异常操作。为验证这一方法的实际应用效果,选用了澳大利亚国防学院的ADFA-LD数据集进行实证研究,检测性能令人满意。

基于Spark Streaming的僵尸主机检测算法

随着宽带互联网的广泛应用,产生了同时针对互联网服务提供商和用户的新型威胁,僵尸网络。僵尸网络通过多类传播和感染程序,构建一个可一对多控制的网络,操控大量僵尸主机发起DDo S攻击、发送垃圾邮件、偷窃敏感数据和钓鱼等恶意行为。基于一种分布式实时处理框架,提出一种分布式的僵尸主机检测算法。该算法能够充分利用网络流量的统计数据IPFIX,在无须深度包解析的情况下,能够识别僵尸主机行为。同时,使用该算法实现了IPFIXScanner原型系统。系统的鲁棒性和可扩展性是设计该系统的核心原则。实验表明,IPFIXScanner原型在使用指定僵尸家族样本训练的情况下,对于特定类的僵尸主机能够获得较高的检出率和较低的误报率。在核心交换机上的测试结果表明,IPFIXScanner能够进行分布式的实时检测,加速比接近线性,验证了Spark Streaming引擎在分布式流处理方面的优势,以及用于僵尸主机检测方面的可行性。

联动防火墙的主机入侵检测系统的研究

联动防火墙的主机入侵检测系统可以实时监测主机的各种状态,辨别可能发生的入侵行为或非法操作,在入侵行为发生时联动防火墙进行自动阻断和报警,实时保护主机系统信息安全。这里主要介绍其中的端口扫描和木马检测两个模块。

基于操作的多层次主机入侵检测模型与方法

提出了一个多层次的基于用户操作的入侵检测模型,并实现了其原型系统。在此模型中,检测系统从个层次监控用户在被保护计4算机系统上进行的操作,监测结果经过信息融合得到最终的入侵判断。该模型能够更容易地发现用户的异常行为,同时有效降低误报。结合原型实现还讨论了在各层次进行入侵检测的方法。

基于访问控制的主机异常入侵检测模型

结合访问控制和入侵检测各自的优势,在以访问控制为系统正常访问参考模式的条件下,提出了基于访问控制的主机异常入侵检测模型——ACB IDS。根据系统调用函数间的约束关系构建基于扩展有向无环图(DAG)的系统调用活动关联图,构建活动关联图的偏离函数,用于计算实际系统调用序列与活动关联图的匹配程度,以达到入侵检测的目的。实验结果表明,ACB IDS相对于传统的入侵检测具有较低的漏报率和误报率,并具有较高的运行效率。

Linux下主机入侵检测系统的研究

主机入侵检测系统主要是根据主机的进程、目录、文件、内存、TCP/IP端口以及到达主机的网络数据包等系统资源的变化情况,实时地判断主机是否被黑客入侵,并阻止黑客的进一步活动或通知防火墙阻断该黑客的源地址,本文主要介绍了当前较为流行的操作系统Linux下主机入侵检测系统的研究设计情况,它对设计其他操作系统平台如Unix、Windows2000下主机入侵检测系统及下一代安全防范系统都有一定的借鉴作用。

基于主机和网络的入侵检测技术的比较与分析

本文讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这两种方式融合在一起,以提供更加有效的入侵检测和保护措施.

一种基于用户行为习惯的主机安全性检测方法

文中提出了一种基于用户行为习惯的主机安全性检测方法.通过建立一种以攻击树root代表主机的拓展攻击树模型来研究用户的行为习惯对主机的影响,并以此来描述主机安全性.该方法实现了对不同用户主机安全性的智能评估,为主机安全性检测提供了一种新方向.

JJG 1096—2014《列车尾部安全防护装置主机检测台》解读

介绍JJG 1096—2014《列车尾部安全防护装置主机检测台》制修订的背景,结合列尾主机检测台的构成和功能介绍JJG 1096—2014相对于JJG(铁道)190—2005《列车尾部安全防护装置主机检测台》新增加的检定项目、取消的检定项目和修改的检定项目的内容和依据,并指出实际检定工作中应注意的事项。

云数据中心基于负载预测的物理主机状态检测策略

针对云数据中心现有物理主机状态检测算法对提高云数据中心物理资源的利用率效果不明显问题,提出了基于负载预测的物理主机状态检测策略(load prediction based physical host status detection,LP-PHSD),LP-PHSD利用时间序列和二次指数平滑法预测出物理主机在未来一段时间内的资源利用率情况,同时结合绝对中位差方法,确定资源利用率动态阈值边界,选择适当的时刻进行迁移,提高物理资源的利用效率,降低能量消耗。LP-PHSD包括源物理主机状态检测和目标物理主机状态检测2个部分,可以很好地判断出虚拟机迁移的时刻。实验表明,经LP-PHSD策略优化后的新虚拟机迁移方法与近几年的BenchMark迁移模型比较起来,云数据中心的总体能量消耗降低,虚拟机迁移次数减少,云服务质量明显提高。

一种面向计算网格U2R攻击的主机入侵检测技术

文中提出了一种针对计算网格U2R攻击的主机入侵检测技术,在主机层使用BV方法,以降低漏报率和误报率.在主机操作系统内核中使用基于整数比较实现的BV方法,不仅占用较小的系统开销,而且可对主机关键资源的使用进行检测.同时通过整合网格访问控制机制,在网格环境下准确地标识入侵者,并向网格中间件层提供网格用户使用主机资源的信息为进一步的用户行为分析提供支持.

Linux终端检测响应系统的文件防护绕过技术研究

目前,国内外很多厂商推出了Linux系统中的终端检测响应(Endpoint Detection and Response,EDR)系统,为云平台、物联网、大数据计算等基础设施提供全面的安全检测和防护服务。但是,针对EDR文件防护功能的绕过攻击能够帮助恶意行为规避监控,造成严重的系统和数据安全风险。针对开源和商业闭源的Linux EDR系统,首先,阐述了文件防护功能的底层实现机制,对其核心技术原理进行了分析;其次,重点梳理了4种现有公开的文件防护绕过技术,提出了3种尚未公开的绕过技术,并且总结提炼为3种攻击类型;再次,基于上述绕过技术编写了验证工具,通过测试证明了这些技术方法对于部分Linux EDR系统的文件防护绕过能力;最后,给出了相应的安全防护建议。

利用Windows Native API调用序列和基于决策树算法的主机异常检测

主要研究W indows平台下的异常检测方法,提出一种利用W indows Native API调用序列和基于决策树算法的主机服务进程模式抽取算法,并通过在模式中引入通配符而大大缩减了模式集的规模。进一步引入了表征模式间关系的转移概率,建立了模式序列的全局马尔可夫链模型,并给出了相应的异常检测算法。实验结果表明:该算法可以抽取一个规模较小且泛化能力较强的模式集,相应的检测算法可以有效地检测异常。

基于系统调用行为相似性聚类的主机入侵检测方法研究

基于内核模块抽象的主机入侵检测方法中,同一内核模块的部分系统调用存在较大行为差异,且不同内核模块也含有行为相似的系统调用,造成行为抽象映射的混淆,影响检测效果.提出了一种基于系统调用行为相似性聚类的主机入侵检测方法,首先利用Word2Vec构建连续稠密词向量实现多维度系统调用行为语义相似性信息提取,再使用聚类算法对系统调用进行抽象表征,减小行为抽象映射的混淆.基于ADFA-LD和ADFA-WD数据集的实验结果表明,该方法能够有效降低行为抽象表征的混淆,提升检测效果.同时,可通过选取聚类簇数较大幅度提高检测时间效率,实用价值大.

虚拟机迁移中一种新的物理主机异常状态检测算法

提出了一种新的物理主机异常状态检测算法PHSDA(physical host status anomalous detection algorithm);PHSDA算法包括两个阶段;在超负载检测中,采用一种迭代权重线性回归方法来预测物理资源的使用效率情况;在低负载检测中,利用多维物理资源的均方根来确定其资源使用阈值下限,避免异常状态的物理主机数量的增加;PHSDA检测算法配合迁移过程中后续的虚拟机选择策略和虚拟机放置策略,就可以形成一个全新的虚拟机迁移模型PHSDA-MMT-BFD;以CloudSim模拟器作为PHSDA的仿真环境;经PHSDA策略优化过后的新虚拟机迁移实验表明:与近几年的BenchMark迁移模型比较起来,可以很好地降低云数据中心的能量消耗,虚拟机迁移次数减少,云服务质量明显提高。