基于生成对抗网络的系统调用主机入侵检测技术

程序的系统调用信息是检测主机异常的重要数据,然而异常发生的次数相对较少,这使得收集到的系统调用数据往往存在数据不均衡的问题。较少的异常系统调用数据使得检测模型无法充分理解程序的异常行为模式,导致入侵检测的准确率较低、误报率较高。针对以上问题,提出了一种基于生成对抗网络的系统调用主机入侵检测方法,通过对异常系统调用数据的增强,缓解数据不平衡的问题。首先将程序的系统调用轨迹划分成固定长度的N-Gram序列,其次使用SeqGAN从异常数据的N-Gram序列中生成合成的N-Gram序列,生成的异常数据与原始数据集相结合,用于训练入侵检测模型。在一个主机系统调用数据集ADFA-LD及一个安卓系统调用数据集Drebin上进行了实验,所提方法的检测准确率分别为0.986和0.989,误报率分别为0.011和0,检测效果优于现有的基于混合神经网络的模型、WaveNet、Relaxed-SVM及RNN-VED的入侵检测研究方法。

基于用户系统调用序列的二进制代码识别

针对编译优化、跨编译器、混淆等带来的二进制代码相似性识别准确率低的问题,提出并实现了一种基于用户系统调用序列的识别方案UstraceDiff。首先,基于Intel Pin框架设计了一个动态分析插桩工具,动态提取二进制代码的用户系统调用序列及参数;其次,通过序列对齐获得被分析的2个二进制代码的系统调用序列的公有序列,并设计了一个有效参数表用于筛选出有效系统调用参数;最后,为评估二进制代码的相似性,提出一种算法利用公有序列及有效参数,计算它们的同源度。使用Coreutils数据集在4种不同的编译条件下对UstraceDiff进行了评估。实验结果表明,相较于Bindiff和DeepBinDiff,UstraceDiff对于同源程序识别的平均准确率分别提高了35.1个百分点和55.4个百分点,对于非同源程序的区分效果也更好。

基于系统调用序列的恶意软件检测技术

随着物联网(IoT)的发展,嵌入式设备数量呈指数式增长,针对Linux内核的多样化系统的恶意软件数量不断增加。对恶意软件的自动分析检测一直是研究的重难点,且集中在基于Windows平台的恶意软件,由于Linux嵌入式设备基于的CPU架构不同、风格多元,静态分析流程复杂,对自动化分析造成阻碍,目前对于Linux恶意软件技术的检测尚不成熟。该文借鉴计算机视觉领域的图像分类思想,相较于传统的静态分析、动态分析,神经网络具有良好的处理复杂信息的能力,胶囊网络模型是近年来具有优异性能的图像分类算法,且很好地应用于小型样本图像分类任务。以可以标识软件行为的Linux软件系统调用序列作为特征,将特征转化为图像,对胶囊网络进行训练,实现对Linux恶意软件检测的目的,在自行收集的恶意软件数据集上测试准确率达到0.9988。

针对系统调用的基于语义特征的多方面信息融合的主机异常检测框架

混淆攻击通过修改进程运行时产生的系统调用序列,可以在实现同等攻击效果的前提下,绕过主机安全防护机制的检测。现有的基于系统调用的主机异常检测方法不能对混淆攻击修改后的系统调用序列进行有效检测。针对此问题,提出了一种基于系统调用多方面语义信息融合的主机异常检测方法。从系统调用序列的多方面语义信息入手,通过系统调用语义信息抽象和系统调用语义特征提取充分挖掘系统调用序列的深层语义信息,利用多通道TextCNN实现多方面信息的融合以进行异常检测。系统调用语义抽象实现特定系统调用到其类型的映射,通过提取序列的抽象语义信息来屏蔽特定系统调用改变对检测效果的影响;系统调用语义特征提取利用注意力机制获取表征序列行为模式的关键语义特征。在ADFA-LD数据集上的实验结果表明,所提方法检测一般主机异常的误报率低于2.2%,F1分数达到0.980;检测混淆攻击的误报率低于2.8%,F1分数达到0.969,检测效果优于对比方法。

基于系统调用的主机异常检测研究综述

系统调用记录了进程活动过程中最精确原始的行为信号,通过对应用程序与操作系统交互产生的系统调用进行分析,可以对进程的异常行为进行有效鉴别,保障主机的安全运行。对基于系统调用的主机异常检测的研究现状进行了梳理。首先介绍了异常检测常用数据集,其次总结了系统调用数据预处理的典型方法,然后详细分析和对比了系统调用异常检测常用算法和模型,并介绍了异常检测常用的评估指标,最后对未来研究方向及相关挑战进行了展望。

面向小程序的函数调用图构建方法

小程序以弱类型的JavaScript语言作为开发语言,对弱类型语言数据流和控制流的分析是准确构建函数调用图的关键.但由于小程序框架代码闭源,现有工具无法分析出其框架代码和业务代码交互的数据流和控制流信息,使其无法准确构建出函数调用图.为此本文提出了融合指针分析和关系图谱的小程序函数调用图构建方法,该方法先对文档知识进行抽取和融合构建初始关系图谱模型,再通过对代码逻辑数据流的分析来完善关系图谱,最后利用关系图谱整合和挖掘出的交互信息来指导指针分析算法对小程序函数调用图进行构建.基于该方法本文实现了小程序静态分析工具MiniDroid,实验表明MiniDroid构建的小程序函数调用图准确性达到89%,与现有工具相比提升了39%.MiniDroid对敏感API检测准确率为92%,相比于前人检测方法提升了14%.

网络热词在主流媒体传播中的调用机制分析——以《人民日报》为例

目的:新媒体时代,分析网络热词在主流媒体传播中的调用机制对舆论引导,推动我国话语建设具有重要意义。方法:文章采用文本分析法,对主流媒体《人民日报》的自媒体平台进行分析。结果:《人民日报》在对网络热词进行调用传播时,不可避免地存在一定的机制框架,会对网络热词进行一定的规范,依据时事热点创造网络热词,同时解构原有的网络热词,在强语境下对热词进行新意义的建构。结论:主流媒体调用网络热词能在一定程度上提高传播效率,有效引导舆论,甚至推动新闻思想的变革,但同时,其带来的“娱乐至死”现象也值得警惕。

基于DAO模式的网站开发数据库调用方法

为了提升网站开发数据库调用效率,提升数据库的安全性与应用效果,提出基于DAO模式的网站开发数据库调用方法。针对网站开发数据库各个应用层之间存在的耦合问题,将DAO模式设计到数据库应用程序中,达到降低程序耦合、减少数据库访问复杂性的目的;通过网站开发数据库的通信代价计算及并行化处理,完成网站开发数据库的任务调度分配,再采用粒子群算法对调度结果实行优化,以此提升网站开发数据库调用效率,实现网站开发数据库的调用。实验结果表明,通过对上述方法开展系统利用率测试、任务调度执行时间、数据库调用安全性测试,验证了上述方法的有效性。

异地异级调用检察官的有“限”性

异地异级调用检察官存在诸多限制。调用主体上,仅限于上级检察院调用下级检察院检察官。调用内容上,应限于检察行政事务,而不包括出庭公诉等内容。法理依据上,我国检察官的调用应首先契合检察机关检察权产生和负责的体制特殊性以及地方检察官任免的地域依附性。调用目的上,该行为有悖于刑事诉讼保障犯罪嫌疑人、被告人权益的理念,且易忽视检察机关自身法律监督的职能定位,欠缺正当性、合理性。

民主正当性视野下的检察官统一调用制度

在民主正当化链条理论的视野中,检察官统一调用制度具有鲜明的功能取向,其与“检察一体”原则的关联指向保证检察权的统一有效行使,因此可获得宪法功能与制度层面的正当性。在保证个案关联度的前提下,检察官统一调用并不构成实质上的任命,被调用检察人员的人事正当化链条保持存续,同时,地方人大及其常委会的地方性不能否定检察权及其分配的统一性和法定性,检察官由此可以跨院履职。但是,检察官统一调用对调出地与调入地检察机关的工作均可能产生影响,并由此影响两地检察机关与人大常委会的责任链条,因而调用一般需要获得两地检察机关及同级人大常委会的同意,避免民主问责的落空。通过遵循一定的调用条件,检察官统一调用将不会影响原有民主正当化水平。

基于调用链建设统一监控系统的方法

随着云计算技术的迅速发展,大型系统不断被分解为多个自治小服务,系统复杂度显著提升。这种演进带来了监控对象数量的激增和故障排查难度加大的挑战。针对上述问题提出了一种基于调用链[1]构建统一监控系统的方法,设计了包括展示层、平台服务层、数据存储层和资源适配层的总体架构,旨在打通SaaS、PaaS和IaaS层的监控数据孤岛,建立各资源之间的联系。这一自上而下的统一监控体系极大地提高了故障排查效率。

企业人事档案管理的原则与调用制度建设研究

企业的发展过程离不开企业的工作人员,人是企业的必需因素,因此企业的人事档案相当重要。企业在对人才进行招聘、考核、调配、培训等环节形成的人员文件材料就是企业人事档案,它能够为企业选拔出更加合适的人才、对人才进行全面了解提供重要的帮助,是企业重要的档案资料。同时,随着国家各方面制度的不断完善,企业员工在维护自身合法权益的过程中,企业人事档案也具有重要的作用,因此对企业人事档案的管理工作十分关键。在管理人员对人事档案实施管理的过程中,需要遵循统一领导分级管理、维护档案的真实完整和安全、规范等原则,但是在实际的档案管理工作中,依然存在许多问题。尤其是在档案调用的过程中,容易出现丢失、遗漏、泄露等问题。因此,为了实现更加高质量的企业人事档案管理工作,需要加强档案调用制度建设工作,实现规范化的企业人事档案管理。本文将简要介绍实施企业人事档案管理工作的必须性,探讨企业人事档案管理的原则,并对当前企业人事档案管理中存在的问题进行分析,最后再提出一些加强建设企业人事档案管理调用制度的措施。

基于系统调用监控的主动反勒索技术研究

勒索软件作为网络安全问题中最重要的威胁之一,给企业组织造成了严重的安全威胁和经济损失。传统的勒索软件检测方法往往基于静态分析,只能检测和处理已知的勒索软件,具有一定的局限性。随着勒索软件变种层出不穷,新型勒索软件不断出现,传统网络安全解决方案存在明显的滞后性、被动性及低效性,因此需要探索积极主动的反勒索防御方法。本文针对真实恶意勒索软件,以系统调用为切入点,根据勒索软件与良性软件运行时系统调用序列存在差异的特征,使用基于多层感知机的机器学习方法,实现对恶意勒索软件的检测。最终试验结果显示模型在测试集上的准确率达到82%。实验结果表明,该方法在恶意勒索软件检测方面具有较高的准确率。

C++函数调用栈机制虚拟仿真实验设计

计算机程序的运行过程构建于高度层次化的软硬件系统之上,难以被直观地观测,使得学习者无法理解程序代码运行的内部过程,给教学工作带来挑战,据此,针对C++程序设计课程中学生对“函数定义与调用”知识点理解不深入这一现状,精心设计仿真案例,研发“C++函数调用栈机制”虚拟仿真实验。该实验以图形界面可视化展现C++程序运行时各指令单元的内存状态,使得计算机的“虚拟世界”直观可见。该实验在实际教学过程实施,效果良好。

基于集成学习的系统调用实时异常检测框架

基于系统调用数据的异常检测无法完成进程生命周期内的入侵行为同步感知任务,且存在实时异常检测准确率低的问题。提出一个基于集成学习的系统调用实时异常检测框架,其中包括数据处理与切片、集成学习、异常检测与反馈模块。在数据处理与切片模块中,对处于生命周期内的进程行为轨迹进行采集与分析,根据线上待分析数据与线下模型训练数据对时效性的不同要求,设计2种系统调用轨迹的切分策略;在集成学习模块中,改进GPT语言模型和门控循环神经单元用于构建系统调用轨迹片段行为轮廓,以集成学习思想融合异常检测异构模型同时抓取单向语义特征与统计特征;在异常检测与反馈模块中,采用考虑单个系统调用重要度的异常判决方法,引入同步感知与实时裁决共存的异常预警机制。在公开数据集上的实验结果表明,该框架具有进程生命周期内的入侵同步感知能力,所构建的集成模型在保证低误报率(0.2%)的同时具有高异常检测准确率(99.3%),优于决策树模型、单分类SVM、BiLSTM等对比模型。

基于Windows API调用序列的恶意代码检测方法

为解决现有恶意代码检测方法存在的特征提取能力不足、检测模型泛化性弱的问题,提出了一种基于Windows API调用序列的恶意代码检测方法.使用N-gram算法和TF-IDF算法提取序列的统计特征,采用Word2Vec模型提取语义特征,将统计特征和语义特征进行特征融合,作为API调用序列的特征.设计了基于Stacking的三层检测模型,通过多个弱学习器构成一个强学习器提高检测模型性能.实验结果表明,提出的特征提取方法可以获得更关键的特征,设计的检测模型的准确率、精确率、召回率均优于单一模型且具有良好的泛化性,证明了检测方法的有效性.

基于无监督系统调用规则生成的容器云实时异常检测系统

容器技术是目前云计算领域的主流技术之一,与虚拟机相比,容器具有启动速度快、可移植性高、扩展能力强等优势。然而,更低的资源隔离性和共享内核的特性给容器和云平台引入了新的安全风险,容易导致资源侵占、数据泄露,宿主机被劫持等问题。为实现容器云平台安全与可观测性,文章提出了一种基于无监督系统调用过滤规则生成的容器云实时异常检测系统,首先,通过无代理模式采集集群中容器的系统调用行为数据;然后,通过一种适用于系统调用数据且关注具体参数的方法在线挖掘过滤规则模板;最后,将挖掘得到的原始规则模板适配至具体规则检测引擎并更新,实现实时异常检测。实验结果表明,该系统可正确挖掘较为精确的系统调用规则模板并转换为具体检测规则,其检测效果与人工编写基本一致。

基于系统调用序列的车载主机设备入侵检测方法研究

列车内部的主机设备搭载Linux嵌入式操作系统,外部应用需要执行系统调用来访问系统内核。随着列车通信网络的兼容性和开放性不断提升,车载主机设备存在遭受网络攻击的风险。当网络攻击发生时,恶意程序同样会通过系统调用与内核产生交互并留下相应痕迹,因此可基于系统调用序列实现车载主机设备的入侵检测。文章分析了Linux系统结构和系统调用序列的原理,设计了包含特征提取、特征词袋处理、特征逆频率处理和特征降维的原始数据特征处理方法,构建了基于网格搜索-K近邻(Grid Search-K-Nearest Neighbor, GS-KNN)的入侵检测模型。试验证明,文章提出的方法准确率达到了96.62%,相较于其他轻量级算法存在优势,能够实现网络入侵的有效检测。

多源数据驱动的API调用模式挖掘方法研究

软件开发人员在编程过程中需要使用大量的应用程序接口(API),但是API文档自身可能存在不完整、过时等情况,导致对其理解和使用出现困难。通常基于序列模式挖掘API调用模式的方法(例如UP-Miner等)针对的是单一的数据来源(即用户源程序),在使用过程中若阈值设置较高,则挖掘出的API调用模式完整性会降低,甚至会丢失一些重要的API调用模式。为此,文中提出一种多源驱动的API调用模式挖掘方法,将用户代码和问答网站(如Stack Overflow)上的专家示例代码相结合,采用分类和聚类的方法挖掘出较少的API调用模式。与UP-Miner等其他工具的对比实验结果表明,所提方法在召回率以及准确率上有较大的提升。

基于系统调用序列学习的内核模糊测试

操作系统内核是计算机系统中最基本的软件组件,它控制和管理计算机硬件资源,并提供访问和管理其他应用程序所需的接口和服务.操作系统内核的安全性直接影响整个计算机系统的稳定性和可靠性.内核模糊测试是一种高效、准确的安全漏洞检测方法.然而目前内核模糊测试工作中,存在系统调用间关系的计算开销过大且容易误判,以及系统调用序列构造方式缺乏合理能量分配以至于很难探索低频系统调用的问题.本文提出以N-gram模型学习系统调用间关系,根据系统调用的出现频次信息和TF-IDF信息优先探索出现频次低或者TF-IDF值高的系统调用.我们以极低的开销,在Linux 4.19和5.19版本的24 h实验中分别提升了15.8%、14.7%的覆盖率.此外,我们挖掘到了一个已知CVE (CVE-2022-3524)、8个新崩溃,其中一个获得了CNNVD编号(CNNVD-2023-84723975).