Robust Malicious Executable Detection Using Host-Based Machine Learning Classifier

The continuous development of cyberattacks is threatening digital transformation endeavors worldwide and leadsto wide losses for various organizations. These dangers have proven that signature-based approaches are insufficientto prevent emerging and polymorphic attacks. Therefore, this paper is proposing a Robust Malicious ExecutableDetection (RMED) using Host-based Machine Learning Classifier to discover malicious Portable Executable (PE)files in hosts using Windows operating systems through collecting PE headers and applying machine learningmechanisms to detect unknown infected files. The authors have collected a novel reliable dataset containing 116,031benign files and 179,071 malware samples from diverse sources to ensure the efficiency of RMED approach.The most effective PE headers that can highly differentiate between benign and malware files were selected totrain the model on 15 PE features to speed up the classification process and achieve real-time detection formalicious executables. The evaluation results showed that RMED succeeded in shrinking the classification timeto 91 milliseconds for each file while reaching an accuracy of 98.42% with a false positive rate equal to 1.58. Inconclusion, this paper contributes to the field of cybersecurity by presenting a comprehensive framework thatleverages Artificial Intelligence (AI) methods to proactively detect and prevent cyber-attacks.

Linux环境下的日志分析系统LASL

日志文件是计算机系统运行轨迹的写照,是入侵检测分析中重要的数据来源.日志分析主要用于入侵事件后采取相应的应急响应措施,最大可能地减少入侵造成的损失.LASL把传统的日志分析技术和移动Agent技术相结合,实现了Linux环境下的主机日志分析系统,具有智能化、自动化和分布式的特点.

一种策略分流的入侵防御及恢复系统架构

通过充分利用入侵检测各类产品的安全防护特点,本文设计了一种策略分流的入侵防御及恢复系统架构.采用双NIDS系统作为前端检测模块,通过策略分流,使得双NIDS系统全面覆盖入侵检测的各个协议层,充分发挥两种NIDS系统的检测优势,实现高效的入侵检测.并结合HIDS的主机日志防护机制及关键内容恢复机制,在即便出现入侵破坏数据的情况下,仍可保证系统的关键部位安全.

Levenberg-Marquardt算法入侵检测系统

本文针对传统BP神经网络算法学习速度慢、收敛性较差的问题,在Windows操作系统下,利用Levenberg-Marquardt算法进行改进,将优化后的LM算法运用到主机入侵检测中去,建立LMBP-HIDS入侵检测系统模型.实验结果表明,运用Levenberg-Marquardt优化算法进行主机入侵检测,改善了传统模型收敛速度慢、易陷入局部最小点、计算量大的缺点,可以较好地提高学习速率,缩短训练过程.

基于Windows的文件完整性检测系统的设计和实现

有些计算机病毒和木马一旦进入系统,就会伪装自己,使系统难以觉察。通过对主机文件系统的完整性验证,能有效地拦截系统未 知的病毒和木马。在Windows系统中,使用拦截技术,当可执行程序运行时对其进行拦截,并验证其文件完整性,确保程序未受感染后,才 允许程序执行。利用文件完整性检查防范计算机病毒和木马,具有较好的实时性和主动性。

基于NIDS入侵检测模型的研究和探讨

本文首先介绍入侵检测系统的基本原理,包括检测方法和分析技术,然后给出了一个网络入侵检测具体模型和事例,阐述了NIDS的重要性以及将来发展的趋势。

基于校园网入侵检测技术的概述及设计

该文从网络入侵检测的概念入手,对入侵检测系统的体系结构、各种类型分类作了说明,根据校园网目前的状况进行了网络入侵检测系统的设计和分析,并对入侵检测的研究热点进行论述,为入侵检测系统做出了总结。

网络入侵检测技术研究

入侵检测是保护网络信息安全的重要途径。本文介绍了网络入侵检测的概念和入侵检测技术的分类,重点阐述了网络入侵检测系统的工作原理、信息收集及其分析方法。

入侵检测在高速网络环境下的技术研究

文章从网络安全的防护措施引入入侵检测技术,简单介绍了入侵检测技术的基础知识,然后分析了在当前的高速网络环境下入侵检测系统的缺点与不足,最后围绕怎样解决高速网络环境下的入侵检测问题探讨了几种新的技术。

基于Linux的入侵检测系统协同性研究与设计

针对主机入侵检测系统(HIDS)的缺点,提出了一种以日志数据库为连接枢纽的新型防御结构模型(H-HIDS)。该结构模型中,蜜罐为HIDS提供补充性的日志数据,入侵行为重定向将HIDS检测到的可疑数据流导向蜜罐,目的是充分利用它们各自的优点,互相分工,协同工作,发挥出它们各自最大的优势,以达到保护特定主机系统最大安全性。通过实验,H-HIDS在报警率和误报率方面具有一定的优越性。

基于两层隐马尔可夫模型的入侵检测方法

在基于系统调用的入侵检测研究中,如何提取系统调用序列模式是一个重要问题。提出一种利用进程堆栈中的函数返回地址链信息来提取不定长模式的方法。同王福宏的不定长模式提取方法相比,该方法可以取得更完备的模式集。在此基础上,基于系统调用序列及其对应的不定长模式序列构建了一个两层隐马尔可夫模型来检测异常行为,与仅利用系统调用序列信息的经典隐马尔可夫方法相比,该方法可以取得更低的误报率和漏报率。

基于Levenberg-Marquardt算法的主机入侵检测系统研究

入侵检测系统是当前信息安全领域的研究热点,在保障信息安全方面起着重要的作用。对BP神经网络优化算法进行对比研究的基础上,利用Levenberg-Marquardt算法对传统BP算法进行改进,成功地将LMBP算法运用到基于W indows操作系统的主机入侵检测中去,建立LMBP-HIDS入侵检测系统模型。实验结果表明,运用Levenberg-Marquardt算法优化BP神经网络进行主机入侵检测,可以较好地提高学习速率,缩短训练过程。

基于Mobile Agent的智能化分布式入侵检测系统模型

入侵检测系统是用来监测攻击的防护手段,但是以往的一些结构难以适应现在的高速网络,误报和漏报频繁,而且它们大都不能智能的分析数据来自动更新规则或其它检测机制,网络管理人员工作繁重,入侵检测系统相互之间又是相互独立的,为了解决以上几个问题,我们提出了基于移动代理的智能化分布式入侵检测模型。

入侵检测技术研究现状与应用前景

入侵检测技术作为一种主动防御型安全技术,弥补了传统安全技术的不足。介绍了入侵检测系统 的主要任务和功能,对入侵检测技术进行了归类,分析了入侵检测技术的研究现状,对入侵检测技 术的应用前景进行了探讨。

入侵检测系统研究

该文首先介绍了入侵检测系统的发展过程,接着阐述了入侵检测系统的概念、功能、模型、分类。然后详细研究了入侵检测系统的检测技术,最后指出了入侵检测系统中目前存在的问题,提出了入侵检测系统的发展前景。

基于BFOA和K-means的复合入侵检测算法

K-means算法对初始聚类中心及簇数K的选择敏感,导致聚类结果不稳定,会对IDS(intrusion detection system,IDS)的检测结果产生重要影响。针对该问题,提出一种基于细菌觅食优化算法(bacterial foraging optimization algorithm,BFOA)和K-means相复合的入侵检测算法(HIDS)。HIDS算法首先基于距离阈值方法动态确定簇数K,再利用BFOA优化生成初始聚类中心,使得选择的初始聚类中心达到全局最优,从而解决了K-means算法的聚类结果不稳定的问题,进而提高入侵检测的准确率。为验证算法的有效性和测试算法性能,将HIDS在KDD99数据集上进行试验测试,入侵检测率可达98.33%。试验结果表明该方法能够有效提高检测率并且降低误检率。