基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.

利用动态二进制翻译加速应用程序行为特征分析

应用程序运行时典型行为特征分析的一种重要方法是SimPoint,但是为SimPoint生成基本块向量剖析(basic block vector profile,BBV profile)文件非常耗时.首先提出了一个利用动态二进制翻译技术生成BBVprofile的通用框架DBT-BBV,然后详细分析了几种降低开销的优化技术,最后基于DBT-BBV和提出的优化技术设计实现了一个高效的BBVProfile收集工具QPoint.利用SPEC2006测试程序集评估了所提出的优化技术和QPoint的性能和开销.与现有工具相比,QPoint有两个优势:①QPoint的性能高于现有工具,在普通PC机上最高速度为292MIPS,平均速度为109MIPS,BBV Profile收集的平均开销小于4%,在同类工具中最低;②QPoint支持众多体系结构平台,包括x86/x86_64,ARM,POWER,SPARC,MIPS等,并且可跨指令集收集BBVProfile.结果显示,动态二进制翻译技术在应用程序行为特征分析加速方面具有非常好的效果.

基于LSM的程序行为控制研究

程序行为控制作为一种主动检测机制,主要在4个方面进行研究:审计数据源选择、行为描述、正常行为模式的建立与行为匹配.对事件序列模型作了深入研究,提出了采用另外一种与系统调用完全不同的数据源——LSM(Linuxsecuritymodules,简称Linux安全模块)截获点,并从理论和实践两个方面来验证LSM数据源的有效性,即基于信息理论的数据质量分析和实际系统的运行结果分析.结果表明,由于LSM数据源的粒度更细以及和安全更相关,使得它更适合作为事件序列模型的审计事件.

基于系统调用属性的程序行为监控

程序的行为轨迹常采用基于系统调用的程序行为自动机来表示.针对传统的程序行为自动机中控制流和数据流描述的程序行为轨迹准确性较低、获取系统调用上下文时间开销大、无法监控程序运行时相邻系统调用间的程序执行轨迹等问题,提出了基于系统调用属性的程序行为自动机.引入了多个系统调用属性,综合系统调用各属性的偏离程度,对系统调用序列描述的程序行为轨迹进行更准确地监控;提出了基于上下文的系统调用参数策略,检测针对系统调用控制流及数据流的行为轨迹偏离;提出了系统调用时间间距属性,使得通过系统调用及其参数无法监控的相邻系统调用间的程序行为轨迹在一定程度上得到了监控.实验表明基于系统调用属性的程序行为自动机能够更准确地刻画程序行为轨迹,较传统模型有更强的行为偏离检测能力.

一种基于控制流的程序行为扩展模型

提出一种基于控制流的程序行为扩展模型EMPDA(extended model based on push down automaton).对控制流模型加入不变性约束扩展,该模型能够表达程序正常运行时所应保持的不变性质约束,增强了模型的监控能力;通过以实际应用区分系统调用重要性,将模型划分为核心模型和辅助模型,以降低模型整体消耗,提高模型学习效率.实验结果表明,该扩展模型较之原模型有更好的覆盖速度、误报率以及检测能力.

基于程序行为累积分析的软件故障定位方法

软件出现失效后,如何根据软件运行时的输入以及运行行为来快速定位引发失效的故障是一个非常有价值的研究问题.提出了故障定位的锥状框架,并基于其将故障定位问题表示为一个分层细化的过程.在软件输入层,利用程序行为累积分析技术对软件的行为进行建模分析,得到了统计故障定位模型,从而解决了软件输入层的故障定位问题.为了检验故障定位模型的效果,选择了5个软件进行实验,对其中4个设计并植入故障,另外1个为真实软件,实验获得了平均0.803的定准率和平均0.697的定全率.在此基础上,如何应用程序行为累积分析技术在软件设计模块层解决故障定位问题得到了进一步的分析.

一种基于异常控制流的错误程序行为分析方法

通过静态分析程序显式异常控制流收集到程序中可引起异常的差错信息,采用故障注入实验,分析了程序的"故障-差错-异常"传播过程.结合函数级异常控制流的描述,对异常相关的差错及其对程序行为的影响进行了分析,建立了基于异常控制流的错误程序行为模型,开发了相应的分析工具.以OpenStack核心组件为对象进行实验,结果表明从异常层次对错误程序行为进行分析是合理而有效的.该方法为具有异常处理机制的大规模程序的错误行为自动分析和差错数据的收集提供了新手段.

基于最小程序行为分解的模式伴随化

模式伴随是自动微分领域中的重要内容之一.基于最小程序行为分解讨论了模式伴随的基本原理和方法,为自动伴随工具的设计与实现提供了基本的理论依据.运用这种方法得到的伴随模式不仅在计算时间、空间存储开销以及代码的复杂性3个方面取得了比较理想的结果,而且在软件实现上较简单.还讨论了树形结构最小程序行为的伴随化方法.

一种基于环境约束的异常程序行为模型

在控制流模型中加入影响程序运行的环境因素,结合静态分析方法的优点,建立了程序异常行为分析模型,用以标记函数调用指令,并在动态运行时进行返回值一致性约束,从而解决了一般方法回避函数指针导致的间接调用问题。同时根据程序的局部运行原理,将分析范围限定在函数范围内。实验结果表明模型具有较好的精确性和较低的性能影响。

基于程序行为均衡的软件可靠性评估测试案例集约减方法

针对软件可靠性评估中约减测试案例往往导致测试案例集的错误检测率下降的问题,提出了1种基于程序行为引导的测试案例约减方法。该方法通过对软件程序行为进行分析,在满足程序测试需求的情况下,选择程序行为均衡的测试案例集,使得对于约减后的测试案例集能够减少错误检测率。在公开的SIR数据集上进行实验,结果表明,所提方法相比于传统的测试案例约减方法,能够在增加少量测试案例的情况下,明显减少软件可靠性评估中错误检测率的损失。

一种基于Linux的程序行为异常检测系统的研究与开发

本文基于Linux平台,阐述了在LSM数据源的支持下构建隐马尔可夫模型的检测方法,并最终实现了在Linux平台下的异常检测原型系统,主要目的在于在异常检测方面降低误报率,取得更好的检测效果。

侦查讯问程序规则和程序行为研究

对侦查讯问的程序规则和程序行为进行要素分析有利于深入理解有关侦查讯问的程序法。我国侦查讯问程序规则体系已经基本形成,包括不得强迫自证其罪规则,律师辩护规则,全程录音录像规则,讯问时间、地点规则,讯问程序规则和非法证据排除规则。侦查讯问程序行为是通过上述程序规则建构出来的,是法定的要式行为或是法定的行为模式的履行。其通过对相关角色的行为模式进行设定和调节,规定相应行为的条件、顺序、方式,从而促使犯罪嫌疑人如实供述。

规避非货币出资程序行为法律责任探究

本文探究了规避非货币出资程序行为的若干法律问题。文章首先分析了规避行为的危害性和引发规避行为的原因,接着探讨了规避行为的法律性质及其构成要件,最后文章论述了其构成要件和举证责任问题。文章的基本观点是:规避行为会及资本充实原则,因而应该通过追究当事股东及其他相关责任者的法律责任来禁止这种行为。

Windows环境下基于栈和堆的应用程序行为解析方法研究

通过描述Windows中与栈及堆密切相关的系统结构,说明其定位方法,并重点讨论其结构格式的电子数据取证特性,为内存空间电子数据取证提供了新的思路与方法。实例分析部分,则以目前广泛使用的Windows操作系统为应用背景,说明了所述方法的具体应用。

对计算机系统中程序行为的分析和研究

对程序行为的三种提取方法进行了分析比较,并采用LKM(LinuxKernelModule)方式对程序行为进行提取分析。从字符串参数长度分布,字符串参数字符特征分布及特殊系统调用参数三个方面来对系统调用参数进行分析,丰富了程序行为分析手段,提高了程序异常检测精度。

一种基于程序行为模糊模式匹配的病毒检测方法

根据典型病毒的行为特征,提取病毒程序的系统API调用序列,用来分类量化病毒的程序行为。模糊分类后建立病毒行为特征库,对可疑程序进行模糊模式匹配。模拟中选取了3种典型计算机病毒样本,在不同阈值下对20个程序进行检测,结果表明,有效识别率可达90%。

基于改进HMM的程序行为异常检测方法

程序行为的异常检测是网络异常检测中的重要部分,针对传统隐马尔科夫模型中状态转移概率及观测值概率仅与前一状态有关的不足,而导致误报率高、检测效率低的问题。文章提出一种改进的基于隐马尔科夫模型的检测方法,该方法重点是利用系统调用局部规律性来建模;同时为了减少模型训练时间,该模型采用更为简单快捷的参数重估方法。最后,通过仿真实验,与传统HMM模型和二阶HMM做横向对比,证明了该模型的实用性。

一个准确高效的基于程序行为的异常检测模型

提出一个高效准确的基于程序行为的异常入侵检测模型,该模型对于静态链接的程序部分以及函数递归基于优化的堆栈遍历技术获得调用堆栈状态信息;对于程序循环,使用代码插入和Null挤压技术来高效地获得系统调用上下文信息;基于动态通知技术,处理非标准的控制转移;从而,能够获得完备的系统调用上下文信息,提高了模型的准确度.给出了模型的描述和实施,分析了其优点.在Linux程序上的实验表明,该模型可保持检测的高效率.

基于程序行为分析的文件防篡改软件的设计与实现

实现了一个基于程序行为分析的高主动防御能力的文件防篡改软件,详细介绍了其结构和工作原理。该软件把文件操作拦截、程序行为分析、进程内存扫描、文件完整性检查4项技术有机结合,向被动防御模式的文件防篡改软件结构中注入主动因子,提高软件的主动防御能力。

一种基于JVMTI实现程序行为模型的强制实施方案

对保护主机防止潜在的恶意移动代码问题进行了研究,在携带模型代码方法的基础上,针对已被广泛使用的Java平台和Java移动代码,提出了Java运行环境下基于JVMTI实现程序行为模型的强制实施方案,并对此方案的可行性和效率进行了验证.