系统调用序列的Markov模型及其在异常检测中的应用 被引量：13

1

作者 谭小彬 王卫平 +1 位作者 奚宏生 殷保群 《计算机工程》 CAS CSCD 北大核心 2002年第12期189-191,265,共4页

建立了计算机系统中系统调用序列的Markov模型，并在此模型的基础上提出了一种用于计算机异常检测的方法。文章利用统计方法分析进程中系统调用的发生情况，定义了一个依赖于状态转移概率的失配因子，并用它来计算失配率，由此判断被监... 建立了计算机系统中系统调用序列的Markov模型，并在此模型的基础上提出了一种用于计算机异常检测的方法。文章利用统计方法分析进程中系统调用的发生情况，定义了一个依赖于状态转移概率的失配因子，并用它来计算失配率，由此判断被监视进程进行的操作是正常行为还是异常行为，文章还提出了一种基于遗忘因子的状态转移概率的更新算法。 展开更多

关键词 系统调用序列 MARKOV模型 异常检测 入侵检测 计算机系统 信息安全

在线阅读 下载PDF 职称材料

采用规划识别理论预测系统调用序列中的入侵企图 被引量：11

2

作者 冯力 管晓宏 +2 位作者 郭三刚 高艳 刘培妮 《计算机学报》 EI CSCD 北大核心 2004年第8期1083-1091,共9页

规划识别是一种根据观察数据识别和推断被观察对象目的或意图的预测理论 .在计算机系统入侵检测研究中 ,为了提前预测出异常事件的发生 ,提出了一种基于规划识别理论的入侵企图预测方法 .通过对主机上的系统调用序列为观察对象建立预测... 规划识别是一种根据观察数据识别和推断被观察对象目的或意图的预测理论 .在计算机系统入侵检测研究中 ,为了提前预测出异常事件的发生 ,提出了一种基于规划识别理论的入侵企图预测方法 .通过对主机上的系统调用序列为观察对象建立预测模型 ,提出了一种带参数补偿的贝叶斯网络动态更新算法 ,对观察对象的目的进行预测 .实验结果表明动态贝叶斯网络对预测系统调用序列中的异常入侵企图有较高的精度 . 展开更多

关键词 入侵预测 规划识别 动态贝叶斯网络 参数补偿 系统调用序列

在线阅读 下载PDF 职称材料

基于粗糙集约简的进程系统调用序列异常检测方法研究 被引量：1

3

作者 鲜明 张义荣 +1 位作者 肖顺平 王国玉 《计算机科学》 CSCD 北大核心 2006年第8期281-284,F0003,共5页

提出了一种基于粗糙集约简的系统调用序列异常检测方法,其基本思想是利用粗糙集约简来对第k个系统调用位置进行预测,把前k-1个位置视为条件属性集,第k个位置视为决策属性,通过Rough集约简方法得到一组预测第k个系统调用位置的最小规则集... 提出了一种基于粗糙集约简的系统调用序列异常检测方法,其基本思想是利用粗糙集约简来对第k个系统调用位置进行预测,把前k-1个位置视为条件属性集,第k个位置视为决策属性,通过Rough集约简方法得到一组预测第k个系统调用位置的最小规则集,进而可用于对实际进程的异常检测。基于合成的UNMsendmail系统调用数据的实验结果表明,本文所提出的异常检测算法性能好于Forrest等人的tide方法,与Wenke Lee等人的数据挖掘算法检测精度相当。但在选择较大的阈值时,漏报率更低。 展开更多

关键词 异常检测 系统调用序列 粗糙集 约简 不一致推理

在线阅读 下载PDF 职称材料

系统调用序列分类的Motif方法及其在异常诊断中的应用

4

作者 张相华 李继伟 +1 位作者 江朝晖 冯焕清 《小型微型计算机系统》 CSCD 北大核心 2008年第8期1445-1449,共5页

系统调用序列分析应用于异常诊断时大都提取定长或变长的子序列作为系统行为的特征,没有考虑系统调用的语义,而某些系统调用的语义是与进程的功能相关的.本文利用特殊系统调用的语义,从系统调用序列中提取motif-同类序列中经常出现的并... 系统调用序列分析应用于异常诊断时大都提取定长或变长的子序列作为系统行为的特征,没有考虑系统调用的语义,而某些系统调用的语义是与进程的功能相关的.本文利用特殊系统调用的语义,从系统调用序列中提取motif-同类序列中经常出现的并与一定功能相关的子序列作为特征,并用这些motif建立分类器对序列进行自动分类.将此方法应用到PC机的入侵检测和系统故障诊断,结果表明,以motif为特征对序列进行分类,不仅可以提高识别率,降低误警报率,而且可以明显降低特征空间的维数. 展开更多

关键词 系统调用序列 模式 分类 异常检测

在线阅读 下载PDF 职称材料

基于最大熵原理系统调用序列异常检测模型研究

5

作者 张健 陈松乔 +1 位作者 戴诏 帅军 《计算机研究与发展》 EI CSCD 北大核心 2006年第z2期332-338,共7页

目前大多数基于系统调用序列分析的主机异常检测方法,在对系统调用序列裁减和特征提取过程中,没有客观评估所使用进程行为的特征表述模式质量,造成了许多误警、漏警和性能方面的问题.提出了一种基于最大熵原理的主机异常检测模型.利用... 目前大多数基于系统调用序列分析的主机异常检测方法,在对系统调用序列裁减和特征提取过程中,没有客观评估所使用进程行为的特征表述模式质量,造成了许多误警、漏警和性能方面的问题.提出了一种基于最大熵原理的主机异常检测模型.利用互信息量和Z测试实现特征提取,利用最大熵模型实现了特征评估与分类器.并通过改进Bloom Filter算法,实现了高效的查找或匹配过程,较好地满足主机异常检测的性能和检测效率的要求,实验结果证明,该检测模型能够以较高的精确度及时地检测出异常攻击行为. 展开更多

关键词 系统调用序列 系统调用短序列 最大熵原理 特征提取

在线阅读 下载PDF 职称材料

基于系统调用序列的程序异常行为检测

6

作者 富宇 唐国维 刘显德 《计算机工程与应用》 CSCD 北大核心 2006年第6期155-157,共3页

讨论了现有方法的缺点,提出了一种基于系统调用序列的检测程序异常行为的新方法,并与其他方法进行了对比和实验。

关键词 系统调用序列 程序异常检测 LINUX安全

在线阅读 下载PDF 职称材料

基于非定长系统调用序列的程序行为动态度量方法 被引量：2

7

作者 蔡洪波 单征 +1 位作者 范超 赵炳麟 《计算机应用研究》 CSCD 北大核心 2016年第4期1154-1158,共5页

针对目前程序动态度量研究中实时性与准确性较差的问题,提出了一种利用程序行为特征进行度量的方法。通过筛选程序运行过程中产生的系统调用,依据其关联特性构成非定长系统调用序列作为程序的行为特征;采用后缀树结构设计实时特征度量... 针对目前程序动态度量研究中实时性与准确性较差的问题,提出了一种利用程序行为特征进行度量的方法。通过筛选程序运行过程中产生的系统调用,依据其关联特性构成非定长系统调用序列作为程序的行为特征;采用后缀树结构设计实时特征度量匹配算法(feature matching with updating suffix tree,FMUS),实现了程序运行过程中的实时特征匹配。实验表明,该方法具有较高的准确率和低时间耗费比。 展开更多

关键词 动态度量 行为特征 非定长 系统调用序列 后缀树

在线阅读 下载PDF 职称材料

基于系统调用序列的“非我”分类

8

作者 李珍 王凤先 《计算机应用》 CSCD 北大核心 2005年第7期1663-1665,共3页

针对仿生免疫系统模型(GECISM)中已识别出的“非我”入侵程序,介绍了基于系统调用序列根据入侵行为进行分类的方法。通过对训练集提取规则,建立“非我”类的特征库,从而判断出“非我”程序所属的“非我”类。实验验证了这一方法的可行... 针对仿生免疫系统模型(GECISM)中已识别出的“非我”入侵程序,介绍了基于系统调用序列根据入侵行为进行分类的方法。通过对训练集提取规则,建立“非我”类的特征库,从而判断出“非我”程序所属的“非我”类。实验验证了这一方法的可行性和有效性。 展开更多

关键词 计算机免疫系统 “非我”分类 系统调用短序列 特征库

在线阅读 下载PDF 职称材料

基于系统调用特征的入侵检测研究 被引量：17

9

作者 姚立红 訾小超 +2 位作者 黄皓 茅兵 谢立 《电子学报》 EI CAS CSCD 北大核心 2003年第8期1134-1137,共4页

对网络服务程序进行攻击是非法用户入侵系统的主要途径 ,针对关键程序的入侵检测近年来受到重视 .该文提出的CTBIDS检测模型在利用系统调用特征树描述程序行为特征的基础上 ,通过异常有限积累判别程序入侵 ,既能体现异常状况的长期积累 ... 对网络服务程序进行攻击是非法用户入侵系统的主要途径 ,针对关键程序的入侵检测近年来受到重视 .该文提出的CTBIDS检测模型在利用系统调用特征树描述程序行为特征的基础上 ,通过异常有限积累判别程序入侵 ,既能体现异常状况的长期积累 ,也能很好地反映入侵的异常局部性原理 .此外 ,该文通过统计分析方法确定入侵判别参数 ,使得入侵判别更加准确 . 展开更多

关键词 信息安全 入侵检测 系统调用序列

在线阅读 下载PDF 职称材料

一种基于神经网络和系统调用的异常入侵检测方法 被引量：3

10

作者 张义荣 鲜明 +1 位作者 肖顺平 王国玉 《计算机应用研究》 CSCD 北大核心 2006年第9期119-121,共3页

提出了一种利用多层BP神经网络建立进程正常运行轮廓的思想,基于1998年DARPA入侵检测系统评估的审计数据源,通过与K-近邻分类、带(频率)门限的Stide(T-Stide)算法的性能比较表明,所提出的算法具有较高的检测率,同时维持了一个较低的误... 提出了一种利用多层BP神经网络建立进程正常运行轮廓的思想,基于1998年DARPA入侵检测系统评估的审计数据源,通过与K-近邻分类、带(频率)门限的Stide(T-Stide)算法的性能比较表明,所提出的算法具有较高的检测率,同时维持了一个较低的误警率。 展开更多

关键词 入侵检测 异常检测 BP神经网络 系统调用序列 K-近邻算法 带(频率)门限的Stide(T-Stide)算法

在线阅读 下载PDF 职称材料

基于系统调用的异常入侵检测 被引量：1

11

作者 李红娇 李建华 诸鸿文 《计算机工程》 CAS CSCD 北大核心 2007年第2期120-121,144,共3页

监视程序行为是近年基于主机的异常入侵检测的研究热点,构建程序行为模型是进行异常检测的关键。该文根据构建程序行为模型时,从系统调用抽取的信息和异常检测中使用的系统调用序列的粒度以及异常检测器记录的信息,分析和比较了基于程... 监视程序行为是近年基于主机的异常入侵检测的研究热点,构建程序行为模型是进行异常检测的关键。该文根据构建程序行为模型时,从系统调用抽取的信息和异常检测中使用的系统调用序列的粒度以及异常检测器记录的信息,分析和比较了基于程序行为的异常检测技术,并对该项研究作了展望。 展开更多

关键词 基于主机的异常检测 系统调用序列 控制流

在线阅读 下载PDF 职称材料

基于主机系统调用的入侵检测方法研究

12

作者 鲁杰 毛国君 尤春梅 《计算机应用与软件》 CSCD 北大核心 2006年第11期19-21,45,共4页

大多数的入侵行为是由于一系列操作系统内部的非法或异常调用引起的,因此对系统调用序列进行分析是入侵检测的一个重要方法。给出了两种基于系统调用的序列分析方法:基于频繁统计和基于权值树的滑动窗口序列分析方法,并且描述了相应算... 大多数的入侵行为是由于一系列操作系统内部的非法或异常调用引起的,因此对系统调用序列进行分析是入侵检测的一个重要方法。给出了两种基于系统调用的序列分析方法:基于频繁统计和基于权值树的滑动窗口序列分析方法,并且描述了相应算法的主要过程。并通过试验证明了它们的合理性和有效性。 展开更多

关键词 入侵检测 系统调用序列 滑动窗口

在线阅读 下载PDF 职称材料

系统调用异常检测模型研究 被引量：3

13

作者 张志利 何聚厚 《计算机工程与应用》 CSCD 北大核心 2008年第35期92-94,共3页

应用程序系统调用的执行序列可以体现出应用程序运行的行为特征,因此通过检测系统调用可以进行异常检测。针对已有算法模式库规模比较大的不足,提出了一种基于遗传算法的系统调用异常检测方法。首先用滑动窗口将系统调用序列划分成长度... 应用程序系统调用的执行序列可以体现出应用程序运行的行为特征,因此通过检测系统调用可以进行异常检测。针对已有算法模式库规模比较大的不足,提出了一种基于遗传算法的系统调用异常检测方法。首先用滑动窗口将系统调用序列划分成长度固定的短序列,然后用遗传算法对系统调用短序列进行学习,建立模式库,用单模式不完全匹配方法对测试数据进行检测。实验表明该方法达到了较好的检测效果。 展开更多

关键词 异常检测 遗传算法 系统调用短序列

在线阅读 下载PDF 职称材料

云边端内核竞态漏洞大模型分析方法研究

14

作者 陈平 骆明宇 《信息网络安全》 北大核心 2025年第7期1007-1020,共14页

随着云边端场景的广泛应用,操作系统内核竞态条件检测面临新的挑战,其复杂性日益提升。针对这一问题,文章提出一种基于大语言模型的内核竞态条件分析方法Log Fuzz。该方法通过知识注入机制,实现对系统调用依赖关系的动态学习与精准分析... 随着云边端场景的广泛应用,操作系统内核竞态条件检测面临新的挑战,其复杂性日益提升。针对这一问题,文章提出一种基于大语言模型的内核竞态条件分析方法Log Fuzz。该方法通过知识注入机制,实现对系统调用依赖关系的动态学习与精准分析,有效缓解云边端环境下内核漏洞分析的难题。研究首先利用崩溃日志进行系统调用模式提取与分析,解决传统方法在复杂依赖关系建模中的局限性。在此基础上,引入大语言模型的领域知识,通过参数高效微调框架深度挖掘系统调用的语义与语法特征,指导模糊测试。实验结果表明,在Linux内核测试中,文章所提方法在18 h后的分支覆盖率较传统方法提升3.31%,并成功触发7个系统崩溃。该方法有助于提升系统安全,为云边端内核竞态条件检测提供一种技术路径。 展开更多

关键词 内核竞态条件 系统调用序列 模糊测试 大语言模型 云边端安全

在线阅读 下载PDF 职称材料

一种基于最大熵原理系统异常检测模型研究 被引量：1

15

作者 张健 陈松乔 《小型微型计算机系统》 CSCD 北大核心 2008年第4期643-648,共6页

大多数基于系统调用序列分析的系统异常检测方法在对系统调用序列裁减和特征提取过程中没有客观评估特征表述进程行为的能力,其结果造成了许多误警、漏警问题,影响了检测性能.提出了一种基于最大熵原理的系统异常检测模型,通过计算互信... 大多数基于系统调用序列分析的系统异常检测方法在对系统调用序列裁减和特征提取过程中没有客观评估特征表述进程行为的能力,其结果造成了许多误警、漏警问题,影响了检测性能.提出了一种基于最大熵原理的系统异常检测模型,通过计算互信息量和Z测试实现特征提取,通过构建最大熵模型实现特征评估与检测分类器.通过改进BloomFilter算法实现高效的特征查找或匹配.较好的改善了系统异常检测的性能,对比实验结果证明,该检测模型能够以较高的精确度及时的检测出异常攻击行为. 展开更多

关键词 系统调用序列 系统调用短序列 最大熵模型 特征提取

在线阅读 下载PDF 职称材料

一种混合式入侵检测系统的研究与设计

16

作者 许占文 张锦 王鹤祥 《沈阳工业大学学报》 EI CAS 2007年第4期452-454,473,共4页

简要介绍了入侵检测系统的定义与分类,分析了基于主机和基于网络两种入侵检测技术各自的优缺点,在此基础上提出了一种混合入侵检测系统模型,将模块化思想和多线程技术应用到系统的设计过程中,并详细介绍了系统各模块的组成、各线程的引... 简要介绍了入侵检测系统的定义与分类,分析了基于主机和基于网络两种入侵检测技术各自的优缺点,在此基础上提出了一种混合入侵检测系统模型,将模块化思想和多线程技术应用到系统的设计过程中,并详细介绍了系统各模块的组成、各线程的引入过程以及各线程的具体功能.其中,控制管理中心模块完成主要的业务逻辑,负责协调管理和统一调度系统其它各模块的工作,从而提高了系统的效率,使基于主机和基于网络的两种入侵检测技术得到了更加充分的融合. 展开更多

关键词 混合入侵检测系统 多线程 聚类 系统调用序列 模块化

在线阅读 下载PDF 职称材料

基于粗糙集理论的免疫系统设计与实现

17

作者 王丽君 高超 《计算机工程与应用》 CSCD 北大核心 2006年第16期129-133,199,共6页

文章在深入分析免疫系统的基础上,提出了一种针对系统调用序列的高效低负的异常检测方法,该方法借助粗糙集理论分析进程正常运行时产生的系统调用序列,提取最简的预测规则模型。与其他方法相比,用粗糙集理论建立正常模型要求的训练数据... 文章在深入分析免疫系统的基础上,提出了一种针对系统调用序列的高效低负的异常检测方法,该方法借助粗糙集理论分析进程正常运行时产生的系统调用序列,提取最简的预测规则模型。与其他方法相比,用粗糙集理论建立正常模型要求的训练数据获取简单,生成的小规则集利于实时检测,能更有效地检测进程的异常运行状态。具有这样免疫特性规则模型可以在局部和全局不同层次上检测入侵攻击,具有较好的自适应性、可扩展性和智能性。实验证明该方法的检测效率明显优于其他建模方法。 展开更多

关键词 免疫系统 入侵检测 粗糙集理论 系统调用序列

在线阅读 下载PDF 职称材料

基于系统行为分析的异常检测技术研究 被引量：1

18

作者 周彬彬 崔宝江 杨义先 《电信科学》 北大核心 2009年第2期59-65,共7页

本文介绍了入侵检测系统中的行为分析技术。针对HIDS异常检测技术中的静态行为分析技术和动态行为分析技术的技术原理、发展历史、研究现状和应用效果进行了分析,尤其对系统行为分析方法进行了重点分析。最后对基于行为分析技术的HIDS... 本文介绍了入侵检测系统中的行为分析技术。针对HIDS异常检测技术中的静态行为分析技术和动态行为分析技术的技术原理、发展历史、研究现状和应用效果进行了分析,尤其对系统行为分析方法进行了重点分析。最后对基于行为分析技术的HIDS的发展趋势进行了展望,总结了HIDS目前的研究进展和在今后应当主要关注的问题。 展开更多

关键词 网络安全 HIDS 异常检测 静态行为分析 动态行为分析 系统调用序列

在线阅读 下载PDF 职称材料

“免疫系统”方法在系统级入侵检测中的应用

19

作者 张晗 杨文飞 陈静 《科学技术与工程》 2008年第1期226-228,共3页

"免疫系统"方法是在研究了特权程序对应的系统调用短序列具有很强的稳定性的基础上提出的。一个基于"免疫系统"方法的Linux系统级入侵检测模型,并讨论了此入侵检测模型的实现技术。

关键词 “免疫系统”方法 入侵检测 系统调用短序列 正常和异常行为模式

在线阅读 下载PDF 职称材料

一种基于审计的入侵检测模型及其实现机制 被引量：15

20

作者 刘海峰 卿斯汉 +1 位作者 蒙杨 刘文清 《电子学报》 EI CAS CSCD 北大核心 2002年第8期1167-1171,共5页

文中对基于系统调用序列的入侵检测进行了深入的研究 ,提出了一种新的基于审计事件向量的入侵检测模型 (AUDIDS) .这一模型除了具有系统调用序列入侵检测模型的优点外 ,比之已有的模型具有更丰富的语义及更高的效率 .针对此模型 ,文中... 文中对基于系统调用序列的入侵检测进行了深入的研究 ,提出了一种新的基于审计事件向量的入侵检测模型 (AUDIDS) .这一模型除了具有系统调用序列入侵检测模型的优点外 ,比之已有的模型具有更丰富的语义及更高的效率 .针对此模型 ,文中还给出了此模型在linux上的实现机制 ,实现了审计事件的定义、收集和存储 ,并对正常库的存储及匹配方法进行了改进 . 展开更多

关键词 审计 入侵检测 LINUX 计算机安全 AUDIDS 系统调用序列

在线阅读 下载PDF 职称材料