基于特权进程行为的入侵检测方法研究

来源 :中国科学院研究生院(软件研究所) | 被引量 : 7次 | 上传用户:lzh23
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
入侵检测技术是保护网络系统的重要手段之一,基于主机的入侵检测系统主要用于对重点主机实施防护,具有检测效率高和检测准确性高等优势。特权进程是攻击者入侵系统时的主要攻击目标,本文通过深入分析针对特权进程的各种攻击方法及其造成的进程行为差异,从异常检测和误用检测两方面研究了针对特权进程行为的入侵检测方法,并在自动响应技术方面进行了探讨性研究。 论文主要取得以下成果:第一,对正常进程和入侵进程进行了对比分析,并对不同的异常行为提出了不同的检测方法;第二,提出了新的基于进程行为监控的检测模型,融合了误用检测和异常检测两种检测技术,充分利用了二者优势,弥补了各自的缺陷和不足;第三,异常检测中,研究了多种检测方法,提出了基于遗传算法的检测模型、基于序列特征提取的检测模型和基于非层次聚类的无监督检测模型,其中基于非层次聚类的无监督检测模型具有对训练数据要求低,生成的正常行为轮廓质量高等优点;第四,首次提出了进程轮廓的实时更新算法,更有利于确保正常行为轮廓与实际应用环境的一致性,改善正常行为轮廓质量;第五,异常检测中,引入了滤噪函数,降低了误报率;第六,提出了新的误用检测算法,提出了一套完整的基于系统调用相关属性的误用描述规则,可详细描述进程异常行为特征,实施误用检测;第七,针对监控特权进程的特殊性,提出了多种可能的响应方法及实现方式,并深入分析了各自的优势和不足;第八,借鉴生物免疫系统原理,设计了一套人工免疫系统,该系统具有自学习功能,可识别自我和非我,并可在运行过程中不断完善,提高检测准确性
其他文献
目的:观察炎琥宁治疗婴幼儿手足口病的临床疗效。方法:将86例手足口病患儿随机分为治疗组和对照组,各43例。治疗组给予炎琥宁注射液,对照组给予利巴韦林注射液治疗,观察临床症
今年伊始,中央会议多次提到加快新型基础设施建设,以5G、工业互联网、大数据中心、人工智能为代表的新基建被寄望成为我国稳投资、调结构、扩内需的关键新引擎。从整体来看,
芳香性空间共轭概念在有机化学领域已经研究非常成熟,但是在无机化学领域的研究寥寥无几。为此,我们尝试对一系列结构已知的含氧族或卤素无机团簇离子或化合物进行理论分析。
无线网络(包括蜂窝网络、卫星网络、移动自组网、传感器网络等)和移动计算的发展成为互联网的一个新特点,人们期待在任何时间任何地点以任何方式自由地享用网络服务。网络带
近日,笔者参与了深圳某大学园区进行的力同AES系统试验组网通信的测评活动。从产品开箱,后台配置,智能中转台部署,到实地组网拉距测试,全方位深入了解该系统的功能和性能。学
网格技术的出现,使得对用户管理已经不再是集中的、封闭的、可控的管理方式。网格系统面对各种威胁,包括来自系统外部的威胁和内部的威胁。传统计算机安全研究的主要内容都是
通过分析地层岩性组合特征、统计PDC钻头、牙轮钻头和狮虎兽钻头在须家河组的机械钻速和进尺,提出了桐梓园构造须家河组高研磨性地层钻头优选方案,也为以后在该区块钻井提供
运用因子分析定权法测算安徽省高技术产业的技术创新效率,结果发现技术含量相对较高的产业其技术创新效率较低,而技术含量相对较低的产业其技术创新效率反而较高。这说明安徽高
目的探讨产后压力性尿失禁应用盆底超声诊断的价值。方法选取我院2013年3月至2015年6月收治的产后6周出现的压力性尿失禁患者50例作为实验组,另外选取同期未生育的50例女性作
回 回 产卜爹仇贱回——回 日E回。”。回祖 一回“。回干 肉果幻中 N_。NH lP7-ewwe--一”$ MN。W;- __._——————》 砧叫]们羽 制作:陈恬’#陈川个美食 Back to yield