基于支撑矢量机和Windows Native API的异常检测方法

借鉴Unix类系统下基于系统调用的主机异常检测理论,通过追踪Windows本机应用编程接口调用序列,对Windows系统下的主机异常检测进行研究.在异常序列检测中,结合使用对小数据集具有较好推广能力的支撑矢量机方法,进而取得较高的检测准确率.实验表明Native API可为Windows平台下基于主机的异常检测系统提供一种可能的数据源.

基于Windows NativeAPI序列的系统行为入侵检测

针对Windows系统入侵检测的不足,研究并借鉴Linux下基于系统调用序列进行入侵检测的方法,提出一种采用BP神经网络算法对Windows Native API序列学习和分类的内核级主机入侵检测方案。通过实验,验证了采用Windows Native API序列进行系统入侵的可行性。Native API是Windows系统内核模式下的API,可以类比于Linux下的系统调用。通过训练神经网络学习Native API序列,建立一个对正常和异常Native API序列进行分类的BP神经网络。在入侵检测时,利用训练后的神经网络对不断出现的Windows Native API序列进行分类,判断系统是否出现异常入侵。

利用Windows Native API调用序列和基于决策树算法的主机异常检测

主要研究W indows平台下的异常检测方法,提出一种利用W indows Native API调用序列和基于决策树算法的主机服务进程模式抽取算法,并通过在模式中引入通配符而大大缩减了模式集的规模。进一步引入了表征模式间关系的转移概率,建立了模式序列的全局马尔可夫链模型,并给出了相应的异常检测算法。实验结果表明:该算法可以抽取一个规模较小且泛化能力较强的模式集,相应的检测算法可以有效地检测异常。

贝叶斯树算法在异常入侵检测中的应用

研究了Windows平台下异常检测方法,提出了一种利用Windows Native API调用序列和基于贝叶斯树算法的主机服务进程规则与对应概率分布生成算法。根据长为N-1的Windows Native API调用序列预测第N个调用的概率分布,对生成的概率序列用U检验方法作为异常检测算法。以贝叶斯树作为弱分类算法,利用AdaBoost-M1方法构造多个基于贝叶斯树的概率分布序列,并按一定方式把它们组合成一个加强的概率分布序列进行入侵检测。实验结果表明这种方法能明显提高模型预测能力。

一种基于图的异常入侵检测新算法

根据主机系统异常入侵过程中Windows native API序列的瞬时高频性,提出一种基于图的异常入侵检测算法。该算法首先将每个Native API映射成为图中的一个点,并以其为起点的子序列作为该点的路径、Native API的前后调用关系为边;其次,对图中每个点记录各自的路径,在这些点的路径中找到若干个圈,圈定义为因对同一个N-ative API重复调用而在图中出现的回路;然后,对组成圈的所有边权值根据一定规则更新;最后利用图的边与其邻边权值差计算出异常指数,判断该序列是否异常。实验结果表明该算法在Windows平台下能实时有效地检测出异常入侵和病毒的Native API序列。

基于进程执行轮廓的缓冲区溢出攻击效果检测

缓冲区溢出攻击效果检测对缓冲区溢出安全防御工作具有重要意义,该文分析进程与Windows Native API的关系,以Windows Native API为数据源进行攻击效果检测。提出执行轮廓的概念及其建立方法,在分析缓冲区溢出攻击效果的基础上,提出基于进程执行轮廓的缓冲区溢出攻击效果检测方法,实验结果表明该方法的有效性。

基于贝叶斯树的主机异常检测

主要研究Windows平台下异常检测方法,提出了一种利用Windows Native API调用序列和基于贝叶斯树算法的主机服务进程规则和对应概率分布的生成算法,并建立正常模型。根据长为N-1的Windows Native APIs调用序列预测第N个调用的概率分布,对生成的概率序列用U检验方法作为异常检测算法。实验结果显示,这种方法能够比较好地区分正常和异常。

基于贝叶斯树和集成学习的异常检测

为解决入侵检测中朴素贝叶斯算法的高数据内部依赖性和决策树容易产生数据"破碎"的问题,本文结合决策树分段的优点和朴素贝叶斯多证据融合的优点,建立了基于贝叶斯树算法的进程服务预测模型,并将bagging集成学习法用于改进贝叶斯树.实验结果表明,模型能有效检测主机异常,且算法的时间复杂度相对较低,适合在线检测.