摘要：针对目前程序动态度量研究中实时性与准确性较差的问题,提出了一种利用程序行为特征进行度量的方法。通过筛选程序运行过程中产生的系统调用,依据其关联特性构成非定长系统调用序列作为程序的行为特征;采用后缀树结构设计实时特征度量匹配算法(feature matching with updating suffix tree,FMUS),实现了程序运行过程中的实时特征匹配。实验表明,该方法具有较高的准确率和低时间耗费比。

摘要：针对当前网络安全事件频发以及异常检测方法大多集中在对系统调用数据的建模研究上等问题,提出一种基于隐马尔可夫模型的入侵检测方法。该算法基于系统调用和函数返回地址链的联合信息来建立主机进程的隐马尔可夫模型。此外,针对常用训练方法存在的不足,设计了一种快速算法用以训练模型的各个参数。实验结果表明:基于系统调用和函数返回地址链的联合信息的引入能够有效区分进程的正常行为和异常行为,大幅度降低训练时间,取得了良好的运算效果。

摘要：文章在深入分析免疫系统的基础上,提出了一种针对系统调用序列的高效低负的异常检测方法,该方法借助粗糙集理论分析进程正常运行时产生的系统调用序列,提取最简的预测规则模型。与其他方法相比,用粗糙集理论建立正常模型要求的训练数据获取简单,生成的小规则集利于实时检测,能更有效地检测进程的异常运行状态。具有这样免疫特性规则模型可以在局部和全局不同层次上检测入侵攻击,具有较好的自适应性、可扩展性和智能性。实验证明该方法的检测效率明显优于其他建模方法。

摘要：针对传统隐马尔可夫模型(HMM)状态转移概率仅与前一状态有关的不足,提出了一种改进的隐马尔可夫模型(Im-proved-HMM),该模型考虑到状态转移概率与前两时刻状态相关,旨在提高异常检测准确率。用基于Improved-HMM的Baum-Welch(BW)算法对正常进程行为进行建模,并采用滑动窗口的方法,检测进程行为是否处于异常状态。实验结果表明,该模型的检测准确率高于传统的HMM模型,能及时、准确检测到进程行为的异常。

摘要：系统调用序列已经成为基于主机的入侵检测系统重要的数据源之一。通过对系统调用的分析来判断入侵事件,具有准确性高、误警率低和稳定性好等优点。目前国际上这方面的研究主要集中在如何设计一个有效的检查算法以提高检测效率。本文对当前国际上系统级入侵检测技术进行了总结,对主要的分析方法特别是数据挖掘技术进行了详细讨论和分析,然后设计一个基于系统调用入侵检测的通用模型。

摘要：简要介绍了入侵检测系统的定义与分类,分析了基于主机和基于网络两种入侵检测技术各自的优缺点,在此基础上提出了一种混合入侵检测系统模型,将模块化思想和多线程技术应用到系统的设计过程中,并详细介绍了系统各模块的组成、各线程的引入过程以及各线程的具体功能.其中,控制管理中心模块完成主要的业务逻辑,负责协调管理和统一调度系统其它各模块的工作,从而提高了系统的效率,使基于主机和基于网络的两种入侵检测技术得到了更加充分的融合.