CN101588358B - 基于危险理论和nsa的主机入侵检测系统及检测方法 - Google Patents
基于危险理论和nsa的主机入侵检测系统及检测方法 Download PDFInfo
- Publication number
- CN101588358B CN101588358B CN2009100231842A CN200910023184A CN101588358B CN 101588358 B CN101588358 B CN 101588358B CN 2009100231842 A CN2009100231842 A CN 2009100231842A CN 200910023184 A CN200910023184 A CN 200910023184A CN 101588358 B CN101588358 B CN 101588358B
- Authority
- CN
- China
- Prior art keywords
- data
- antigen
- detection
- cell
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种主机入侵检测方法,主要解决现有技术误检率高和适应性差的问题。其检测步骤为:(1)采集主机特权进程的资源使用情况和系统调用序列;(2)将采集到的资源使用情况转化为信号数据,将采集到的系统调用序列转化为抗原数据;(3)对上述信号数据和抗原数据进行训练,得到信号数据检测规则和抗原信号的检测规则;(4)利用信号数据检测规则对信号数据进行检测,确定危险区域;(5)在危险区域内,检测抗原数据,如果抗原数据检测结果异常,则认为主机中存在入侵进程,从而暂停异常进程,并将异常情况记录到日志文件中。本发明具有误检率低和适应性强的优点,可用于在网络环境中对主机的监控。
Description
技术领域
机网络技术领域,涉及网络安全,具体地说是一种主机入侵检测系统及检测方法,可用以在网络环境中实现对主机的监控。
背景技术
随着Internet的广泛应用和网络间信息流量的急剧增长,各领域在得益于网络的同时,其数据的安全性也受到的严重的威胁。目前,常用的安全技术有防火墙、防病毒软件、加密技术、用户认证和入侵检测系统等。其中,入侵检测技术是一种主动保护自己免受攻击的网络安全技术,它在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误用操作的实时保护。
就检测数据而言,入侵检测可以分成:网络型和主机型。网络型入侵检测系统的检测数据来自网络上的原始数据包,该类型的入侵检测系统一般担负着保护一个网段的任务;主机型的入侵检测系统通过分析主机中的审计数据来检测攻击。也有一些专家把同时检测主机数据和网络数据的入侵检测系统单分一类——混合型入侵检测系统。
利用操作系统中特权进程的漏洞实施攻击是一种很普遍的入侵方式。特权进程,比如Linux系统中以root权限运行的程序具有较高的权限,入侵者可以利用这些程序的设计漏洞,获取整个系统的控制权。例如,Finger服务程序中的一个缺陷可以使攻击者利用“缓冲区溢出”的方法,欺骗服务程序执行入侵者安排的恶意代码。所以,通过监视特权程序的运行情况已经成为检测入侵行为的主要手段之一。有研究表明,同一个特权程序在正常运行时所产生的系统调用序列基本一致;但当遭受攻击篡改,或执行不正常的程序分支,使程序不正常运行时,它所产生的系统调用序列与程序正常运行时有明显差异。此外,对于破坏性的攻击行为,主机特权进程的资源使用情况与系统正常运行时也是有差别的,这里所说的资源使用情况包括CPU的使用率,内存的占用率,以及进程所生成的socket连接数等。
就检测技术而言,入侵检测可以分成:误用检测和异常检测。具体来说,误用检测是对已知的入侵行为建模,用已经建立的入侵模式库区来检测用户行为。误用检测可以有效地检测到已知的攻击,产生的误用比较少,但误用检测不能检测到未知的攻击,它需要不断地更新攻击特征库,系统的适应性比较差。异常检测是对正常行为建模,所有不符合这个模型的行为就被怀疑为攻击。异常检测首先收集一段时期正常操作活动的历史数据,建立正常行为轮廓。然后收集实时数据,并使用各种方法来决定所检测到的事件活动是否偏离了正常行为模式。异常检测在没有详细的特定知识条件下,可以检测出未知的攻击,但这种检测方式误检率比较高。异常检测的方法主要有阈值检测、统计方法神经网络和人工免疫等。
在入侵检测方法和技术研究中,人们发现生物免疫系统与入侵检测系统具有相似性:免疫系统捍卫着人体不受各种病原体的侵害,正如入侵检测系统保护计算机系统免受攻击的摧毁一样,两者都是使保护对象在不断变化的环境中维持系统的稳定性。因此人们开始借鉴生物免疫原理开发入侵检测技术。美国University of New Mexico的Forrest,Hofineyr等人提出的基于免疫耐受机制的模型,即否定选择算法。免疫机制使出未现过的入侵行为仍然可以被检测到,且敏感性更高反应更快。该模型的主要不足是:网络入侵的不可预测性和训练样本的不够完备导致将正常的网络行为判断为入侵行为,不适应用户正常行为的突然改变,而造成大量的误报占用系统管理员大量时间并消耗系统资源。
发明内容
本发明的目的在于克服上述已有技术的不足,提出一种基于危险理论和否定选择算法NSA的主机入侵检测系统及检测方法,以实现在保证检测精度的前提下,有效提高入侵检测的误检率和适应性。
为实现上述目的,本发明的主机入侵检测系统包括:
信号数据采集模块,用于采集主机特权进程使用数据,包括CPU的占用率,内存的占用率,生成的socket连接数,并将所得到的信号数据分别传输到信号数据训练模块和数据检测模块;
抗原数据采集模块,用于采集主机特权进程运行时产生系统调用序列,并将所得到的抗原数据分别传输到抗原数据训练模块和数据检测模块;
信号数据训练模块,用于利用新颖发现算法对信号数据采集模块所采集的信号数据进行训练,并将所得到检测规则用于数据检测模块中信号数据的检测;
抗原数据训练模块,用于利用否定选择算法对抗原数据采集模块所采集的抗原数据进行训练,并将所得到检测规则用于数据检测模块中抗原数据的检测;
数据检测模块,用于利用信号数据训练模块所得到的训练规则,完成对检测信号数据采集模块所采集数据的检测,利用抗原数据训练模块所得到的训练规则,完成对检测抗原数据采集模块所采集数据的检测,并依据危险理论的思想,把信号数据的检测结果作为危险信号,确定抗原数据的危险区域;
行为响应模块,用于对主机特权进程的异常情况发生响应,根据数据检测模块的检测结果,暂停进程,把异常情况的详细信息记录到日志文件。
为实现上述目的,本发明的主机入侵检测方法包括:
(1)按时间顺序,采集主机特权进程的资源使用情况和它所调用的系统调用序列;
(2)将采集到的资源使用情况转化为信号数据,将采集到的系统调用序列转化为抗原数据;
(3)对上述信号数据和抗原数据进行训练,得到信号数据检测规则和抗原信号的检测规则;
(4)利用信号数据检测规则对信号数据进行检测,确定危险区域;
(5)利用抗原数据检测规则在所确定的危险区域内,对抗原数据进行检测,如果检测出异常抗原数据,就认为主机中存在入侵行为;
(6)入侵检测系统针对检测出的入侵行为,暂停异常进程,并将异常情况的详细信息记录到日志文件中。
本发明与现有技术相比具有如下优点:
1.结合危险理论的思想与否定选择算法,降低了系统的误检率。
Matzinger提出的危险理论认为诱发机体免疫应答的关键因素是入侵者产生的危险信号,而不是入侵者的异己性。在入侵检测中加入危险理论思想可以改进传统的人工免疫理论的不足,提高基于人工免疫理论的检测系统性能,降低了误检率。使用CPU资源、内存、和进程的socket连接情况等各种系统资源使用情况作为信号数据,确定出一个危险区域,在危险区域内对主机特权进程的系统调用序列进行检测。信号数据的引入使得本发明的主机入侵检测系统只对危险区域内的异常情况做出响应,而不是对所有的异常情况都做出响应,因而有效的降低了误检率。
2.结合主机进程的系统调用序列和资源使用情况,提高了系统适应性。
本发明所定义的抗原数据是主机特权进程产生的系统调用序列。在Linux主机系统中,用户和内核的交互是通过系统调用序列来完成的,目前大多数主机系统的攻击最终也是通过非法执行系统调用来达到目的。同一个特权进程正常运行和受到攻击所产生的系统调用也存在不同的特征,所以采用主机特权进程产生的系统调用序列作为抗原数据。另外,破坏性的入侵行为常常会导致主机特权进程资源使用情况的异常。本发明把主机特权进程的资源使用情况定义为信号数据。信号数据检测和抗原数据检测的协同作用,可以从以下几个方面较好地改善了检测参数和检测性能。(1)抗原数据训练集不完备会引起“正常”与“异常”界线模糊,引起的误报与漏报。当系统无法分清“正常”与“异常”时,危险信号成为彼此的分界工具,增强系统的适应性。(2)提高入侵检测系统的自适应能力。未知攻击发生时,会产生样本记录,在紧急防御措施之后,自动触发学习机制,用自动检测取代了当前入侵检测系统依靠人工进行“攻击”确认的工作,提高了入侵检测系统从环境中学习的能力。
附图说明
图1是本发明结构框图;
图2是本发明的主机入侵检测过程示意图;
图3是本发明信号数据检测的流程图;
图4是本发明抗原数据检测的流程图;
具体实施方式
参照图1,本发明的主机入侵检测系统结构,主要由信号数据采集模块、抗原数据采集模块、信号数据训练模块、抗原数据训练模块、数据检测模块和行为响应模块构成。各模块的具体功能及传输关系如下:
(1)信号数据采集模块:在被监控主机运行时,采集主机特权进程的系统资源使用情况,包括CPU的占用率,内存的占用率,生成的socket连接数,将这些系统资源使用情况转化一个n维向量,n表示所选取的系统资源种类数,将这个向量定义为信号数据,并将所得到的信号数据分别传输到信号数据训练模块和数据检测模块。
(2)抗原数据采集模块:在被监控主机运行时,采集主机特权进程运行时产生系统调用序列,将这些系统调用序列转化为一组长度为m的字符串,m表示截取系统调用子序列的长度,将这组字符串定义为抗原数据,并将所得到的抗原数据分别传输到抗原数据训练模块和数据检测模块。
(3)信号数据训练模块:利用新颖发现算法对信号数据采集模块所采集的信号数据进行训练,并将所得到检测规则用于数据检测模块中信号数据的检测。
(4)抗原数据训练模块:利用否定选择算法对抗原数据采集模块所采集的抗原数据进行训练,并将所得到检测规则用于数据检测模块中抗原数据的检测。
(5)数据检测模块:分别接收信号数据采集模块和抗原数据采集模块采集的信号数据和抗原数据,将存储信号数据和抗原数据的将这个数据结构定义为D细胞,每一个D细胞都设有固定的生命周期。D细胞利用信号数据检测规则对每个进入D细胞的信号数据进行检测,并同时保存与该信号数据相对应的抗原数据,如果D细胞在生命周期结束前检测到异常的信号数据,则该D细胞产生的IL-2信号值被置1,表示该D细胞处于危险区域内;如果D细胞的生命周期结束时,D细胞还没有检测到异常的信号数据,则该D细胞产生的IL-2信号值被置0,表示该D细胞处于危险区域外。
将存储抗原数据检测规则的数据结构定义为T细胞,T细胞对D细胞提供的抗原数据进行检测,并同时判断该D细胞产生的IL-2信号值。当T细胞检测某个D细胞提供的抗原数据,如果该D细胞产生的IL-2信号值为0,则认为该T细胞检测有误,它存储的检测规则将被修正;如果该D细胞产生的IL-2信号值为1,则该D细胞中的抗原数据就被认定为是异常的,入侵检测系统则认为主机中存在入侵行为。检测到异常抗原数据的T细胞将被保留一段时间,对类似特征的异常抗原数据进行快速检测。
(6)行为响应模块,根据数据检测模块的检测结果,暂停进程,把异常情况的详细信息记录到日志文件。
参照图2,本发明的入侵检测方法,具体实现步骤如下:
(1)在所监控的主机运行时,按时间顺序对指定特权进程的资源使用情况和它运行所产生的系统调用序列进行采样;
(2)将采集到的资源使用情况转化为信号数据,将采集到的系统调用序列转化为抗原数据,该步骤的具体实施如下:
2a)将步骤(1)所采集的主机特权进程资源使用情况转化为一个n维实数向量,n表示所选取的系统资源种类数,将这个向量定义为信号数据;
2b)将主机特权进程运行产生的系统调用序列截取成一组长度为m的短序列,m表示截取系统调用子序列的长度,将这组短序列定义为抗原数据;
(3)对上述信号数据和抗原数据进行训练,得到信号数据检测规则和抗原信号的检测规则,该步骤的具体实施如下:
3a)采用新颖发现算法对步骤2a)得到的信号数据进行训练,经过训练得到的信号数据检测规则是一组权值;
3b)采用否定选择算法对步骤2b)得到的抗原数据进行训练,经过训练得到的抗原数据检测规则是以层数为m的树形结构存储。
(4)利用步骤(3)所得到的信号数据检测规则对信号数据进行检测,确定危险区域。
参考图3,该步骤的具体实施如下:
4a)分别接收步骤(2)得到的信号数据和抗原数据,将存储信号数据和抗原数据的数据结构定义为D细胞,每一个D细胞都设有固定的生命周期;
4b)D细胞利用信号数据检测规则对每个进入D细胞的信号数据进行检测,并同时保存与该信号信号数据相对应的抗原数据,如果D细胞在生命周期结束前检测到异常的信号数据,则该D细胞产生的IL-2信号值被置1,表示该D细胞处于危险区域;
4c)如果D细胞的生命周期结束时,D细胞还没有检测到异常的信号数据,则该D细胞产生的IL-2信号值被置0,表示该D细胞处于危险区域之外。
(5)利用抗原数据检测规则在所确定的危险区域内,对抗原数据进行检测,如果检测出异常抗原数据,就认为主机中存在入侵行为。
参考图4,该步骤的具体实施如下:
5a)将存储抗原数据检测规则的数据结构定义为T细胞,T细胞对D细胞提供的抗原数据进行检测,并判断该D细胞产生的IL-2信号值;
5b)当T细胞检测某个D细胞提供的抗原数据,如果该D细胞产生的IL-2信号值为0,则认为该T细胞检测有误,它存储的检测规则将被修正,如果该D细胞产生的IL-2信号值为1,则该D细胞中的抗原数据就被认定为是异常的,入侵检测系统则认为主机中存在入侵行为;
5c)将在步骤5b)中检测到异常抗原数据的T细胞保留一段时间,用该T细胞对类似特征的异常抗原数据进行快速检测。
(6)入侵检测系统针对检测出的入侵行为,暂停异常进程,并将异常情况的详细信息记录到日志文件中。
本发明的效果可以通过以下仿真实验说明:
本实验对sendmail,ftpd和xlock三个特权进程正常运行和受到攻击时所提取的系统调用序列进行仿真测试,并在实时环境中对主机进行RPC攻击,应用本发明所涉及的入侵检测系统对入侵行为进行检测拦截。实验1,针对抗原数据的仿真实验
(1)实验所采用的数据:
(a)正常行为数据:sendmail进程,wu-ftpd进程和xlock进程正常运行时收集的系统调用序列;
(b)sendmail入侵数据:sunsendmailcp,译码化名入侵和forwarding loops三种攻击发生时进程sendmail产生的系统调用序列;
(c)wu-ftpd入侵数据:利用配置文件SITE EXEC漏洞,骗取root权限时进程wu-ftpd产生的系统调用序列;
(d)xlock入侵数据:利用xlock进程缓冲区溢出的入侵行为发生时进程xlock产生的系统调用序列。
(2)实验步骤及结果:
(a)把xlock进程正常运行时收集的正常行为数据,分成两组:正常行为数据1和正常行为数据2;用正常行为数据1进行训练,用正常行为数据2和入侵行为数据进行测试,测试结果如表1所示。
表1xlock进程正常行为与异常行为检测结果对比
运行xlock | 运行xlock时生成总的短序列数 | 不能与正常行为库匹配的短序列数 | 不匹配的短序列所占比例% |
正常运行2 | 21172 | 247 | 1.1664 |
入侵行为 | 940 | 681 | 73.9583 |
(b)把wu-ftpd进程正常运行时收集的正常行为数据,分成两组:正常行为数据1和正常行为数据2;用正常行为数据1进行训练,用正常行为数据2和入侵行为数据进行测,测试结果如表2所示。
表2wu-ftpd进程正常行为与异常行为检测结果对比
运行ftp | 运行ftp时生成总的短序列数 | 不能与正常行为库匹配的短序列数 | 不匹配的短序列所占比例% |
正常运行2 | 394 | 41 | 10.4061 |
入侵行为 | 1318 | 496 | 37.6328 |
(c)把sendmail进程正常运行时收集的正常行为数据,分成两组:正常行为数据1和正常行为数据2,用正常行为数据1进行训练,用正常行为数据2和入侵行为数据进行测,测试结果如表3所示。
表3 sendmail进程正常行为与异常行为检测结果对比
运行sendmail | 运行sendmail时生成的总序列数 | 不能与正常行为库匹配的序列数 | 不匹配短序列所占比例% |
正常行为2 | 97952 | 1224 | 1.2496 |
入侵行为 | 1480 | 27 | 1.8243 |
(3)实验仿真结果分析:
从表1可以看出,xlock进程所产生的与正常行为库不能匹配的短序列比例在正常运行时和受到攻击时的差异很大。这说明xlock进程正常运行时和受到攻击时产生系统调用的轨迹有较大的区分度,验证了入侵检测系统的有效性。
从表2可以看出,wu-ftpd进程所产生的与正常行为库不能匹配的短序列比例在正常运行时和受到攻击时的差异没有xlock进程足够大,可以用于检测wu-ftpd进程是否受到攻击。
从表3可以看出,sendmail进程的正常行为与正常行为库的偏离程度比攻击行为decode还要大,这将会造成系统的误判。
这三个数据表格说明系统调用序列能够用于检测主机特权进程是否受到攻击,但随着主机特权进程产生系统调用序列复杂程度的增加,使用抗原数据检测的难度增加。所以本发明引入信号数据辅助抗原数据检测,下面的实验将验证其有效性。
实验2,在实时环境中检测RPC攻击实验
在本实验中,使用了J.Twycross编写的libtissue库所提供的函数接口实现入侵检测系统。实验仿真使用VMware软件模拟一个局域网。其中,rpc.statd服务器选用redhat6.2。rpc.statd是一种用于监视并控制NFS(Network File System)的RPC(Remote Procedure Call)守护进程。redhat6.2Linux系统所带的nfs-utils软件包中的rcp.statd守护进程存在一个安全漏洞。rpc.statd对用户输入缺少正确检查,通过特殊格式的字符串,可以允许远程攻击者覆盖rpc.statd堆栈中的某个返回地址,远程地执行任意命令。由于rpc.statd通常是以root身份运行,因此溢出代码会以root身份执行。这个漏洞已经被Ramen Worm病毒所利用。
在实验中,从http://seclists.org/lists/bugtraq/2000/Oct/0170.html下载statdx2的入侵源代码,对rpc.statd服务器进行远程访问,并试图非法获取Root权限。
在终端执行如下命令:
#./statdx2-d 0192.168.25.3来模拟UDP攻击
入侵行为被成功检测到
在终端执行如下命令:
#./statdx2-d 0-t 192.168.73.3来模拟TCP攻击
入侵行为被成功检测到
本发明涉及的入侵检测系统成功检测到了上述两个非法的远程操作,验证了系统的有效性。
Claims (7)
1.一种基于危险理论和NSA的主机入侵检测系统包括:
信号数据采集模块,用于采集主机特权进程的系统资源使用情况,包括CPU的占用率,内存的占用率,生成的socket连接数,并将所得到的信号数据分别传输到信号数据训练模块和数据检测模块;
抗原数据采集模块,用于采集主机特权进程运行时产生系统调用序列,并将所得到的抗原数据传输到抗原数据训练模块和数据检测模块;
信号数据训练模块,用于利用新颖发现算法对信号数据采集模块所采集的信号数据进行训练,并将所得到检测规则用于数据检测模块中信号数据的检测;
抗原数据训练模块,用于利用否定选择算法对抗原数据采集模块所采集的抗原数据进行训练,并将所得到检测规则用于数据检测模块中抗原数据的检测;
数据检测模块,用于利用信号数据训练模块所得到的检测规则,完成对检测信号数据采集模块所采集数据的检测,利用抗原数据训练模块所得到的检测规则,完成对检测抗原数据采集模块所采集数据的检测,并依据危险理论的思想,把信号数据的检测结果作为危险信号,确定抗原数据的危险区域;
行为响应模块,用于对主机特权进程的异常情况发生响应,利用抗原数据检测规则在所确定的危险区域内,对抗原数据进行检测,如果检测出异常抗原数据,就认为主机中存在入侵行为,则暂停进程,并把异常情况的详细信息记录到日志文件。
2.一种基于危险理论和NSA的主机入侵检测方法包括如下步骤:
(1)按时间顺序,采集主机特权进程的资源使用情况和它所调用的系统调用序列;
(2)将采集到的资源使用情况转化为信号数据,将采集到的系统调用序列转化为抗原数据;
(3)对上述信号数据和抗原数据进行训练,得到信号数据检测规则和抗原信号的检测规则;
(4)利用信号数据检测规则对信号数据进行检测,确定危险区域;
(5)利用抗原数据检测规则在所确定的危险区域内,对抗原数据进行检测,如果检测出异常抗原数据,就认为主机中存在入侵行为;
(6)入侵检测系统针对检测出的入侵行为,暂停异常进程,并将异常情况的详细信息记录到日志文件中。
3.根据权利要求2所述的主机入侵检测方法,其中步骤(2)所述的信号数据,是一个n维向量,n表示所采集到的资源的种类数。
4.根据权利要求2所述的主机入侵检测方法,其中步骤(2)所述的抗原数据,是一组长度为m的字符串,m表示系统调用序列的长度。
5.根据权利要求2所述的主机入侵检测方法,其中步骤(3)所述的对信号数据和抗原数据进行训练,是采用新颖发现算法对信号数据训练,采用否定选择算法对抗原数据进行训练。
6.根据权利要求2所述的主机入侵检测方法,其中步骤(4)所述的利用信号数据检测规则对信号数据进行检测,确定危险区域,按如下步骤进行:
6a)将存储信号数据和抗原数据的数据结构定义为D细胞,每一个D细胞都设有固定的生命周期,D细胞利用信号数据检测规则对每个进入D细胞的信号数据进行检测,并同时保存与该信号数据相对应的抗原数据,如果D细胞在生命周期结束前检测到异常的信号数据,则该D细胞产生的IL-2信号值被置1,表示该D细胞处于危险区域之内;
6b)如果D细胞的生命周期结束时,D细胞还没有检测到异常的信号数据,则该D细胞产生的IL-2信号值被置0,表示该D细胞处于危险区域之外。
7.根据权利要求6所述的主机入侵检测方法,其中步骤(5)所述的利用抗原数据检测规则在所确定的危险区域内,对抗原数据进行检测,按如下步骤进行:
7a)将存储抗原数据检测规则的数据结构定义为T细胞,T细胞对D细胞提供的抗原数据进行检测,并判断该D细胞产生的IL-2信号值;
7b)当T细胞检测某个D细胞提供的抗原数据,如果该D细胞产生的IL-2信号值为0,则认为该T细胞检测有误,它存储的检测规则将被修正,如果该D细胞产生的IL-2信号值为1,则该D细胞中的抗原数据就被认定为是异常的,入侵检测系统则认为主机中存在入侵行为;
7c)将在步骤7b)中,检测到异常抗原数据的T细胞保留一段时间,以对类似特征的异常抗原数据进行快速检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100231842A CN101588358B (zh) | 2009-07-02 | 2009-07-02 | 基于危险理论和nsa的主机入侵检测系统及检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100231842A CN101588358B (zh) | 2009-07-02 | 2009-07-02 | 基于危险理论和nsa的主机入侵检测系统及检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101588358A CN101588358A (zh) | 2009-11-25 |
CN101588358B true CN101588358B (zh) | 2012-06-27 |
Family
ID=41372421
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100231842A Expired - Fee Related CN101588358B (zh) | 2009-07-02 | 2009-07-02 | 基于危险理论和nsa的主机入侵检测系统及检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101588358B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101866402B (zh) * | 2010-05-31 | 2012-02-08 | 西安电子科技大学 | 基于免疫多目标约束的否定选择入侵检测方法 |
CN102289616A (zh) * | 2011-06-30 | 2011-12-21 | 北京邮电大学 | 移动智能终端中系统资源恶意侵占的防范方法和系统 |
CN102591727B (zh) | 2012-01-04 | 2014-09-17 | 华为终端有限公司 | 对应用数据进行处理的方法和计算节点 |
CN104811453B (zh) * | 2012-09-29 | 2018-05-01 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
CN102857519B (zh) * | 2012-09-29 | 2015-01-07 | 北京奇虎科技有限公司 | 主动防御系统 |
CN104518913B (zh) * | 2014-12-17 | 2018-02-16 | 武汉科技大学 | 一种基于人工免疫的云服务异常检测方法 |
CN106534212A (zh) * | 2016-12-29 | 2017-03-22 | 杭州世平信息科技有限公司 | 基于用户行为和数据状态的自适应安全防护方法及系统 |
CN111355725B (zh) * | 2020-02-26 | 2021-02-23 | 北京邮电大学 | 一种网络入侵数据的检测方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1507233A (zh) * | 2002-12-11 | 2004-06-23 | 中国科学院研究生院 | 一种坚固网关系统及其检测攻击方法 |
CN1612532A (zh) * | 2003-10-31 | 2005-05-04 | 国际商业机器公司 | 基于主机的网络入侵检测系统 |
-
2009
- 2009-07-02 CN CN2009100231842A patent/CN101588358B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1507233A (zh) * | 2002-12-11 | 2004-06-23 | 中国科学院研究生院 | 一种坚固网关系统及其检测攻击方法 |
CN1612532A (zh) * | 2003-10-31 | 2005-05-04 | 国际商业机器公司 | 基于主机的网络入侵检测系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101588358A (zh) | 2009-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101588358B (zh) | 基于危险理论和nsa的主机入侵检测系统及检测方法 | |
del Rey | Mathematical modeling of the propagation of malware: a review | |
Killourhy et al. | A defense-centric taxonomy based on attack manifestations | |
CN104598824B (zh) | 一种恶意程序检测方法及其装置 | |
Ghosh et al. | Learning program behavior profiles for intrusion detection | |
CN106557689B (zh) | 恶意程序码分析方法与系统、数据处理装置及电子装置 | |
Stolfo et al. | Data mining-based intrusion detectors: An overview of the columbia ids project | |
Murtaza et al. | A host-based anomaly detection approach by representing system calls as states of kernel modules | |
CN103150509B (zh) | 一种基于虚拟执行的病毒检测系统 | |
CN108200030A (zh) | 恶意流量的检测方法、系统、装置及计算机可读存储介质 | |
CN107645503A (zh) | 一种基于规则的恶意域名所属dga家族的检测方法 | |
CN104283889A (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
Alhaidari et al. | New approach to determine DDoS attack patterns on SCADA system using machine learning | |
CN103370716A (zh) | 使用电力指纹(pfp)来监控完整性并且增强基于计算机的系统的安全性 | |
Stolfo et al. | Anomaly detection in computer security and an application to file system accesses | |
CN114422224A (zh) | 面向攻击溯源的威胁情报智能分析方法及系统 | |
Murtaza et al. | A trace abstraction approach for host-based anomaly detection | |
US10637884B2 (en) | Artificial intelligence system and method for threat anticipation | |
Zamiri-Gourabi et al. | Gas what? I can see your GasPots. Studying the fingerprintability of ICS honeypots in the wild | |
Chen et al. | Detection, traceability, and propagation of mobile malware threats | |
KR101327740B1 (ko) | 악성코드의 행동 패턴 수집장치 및 방법 | |
Sabhnani et al. | KDD Feature Set Complaint Heuristic Rules for R2L Attack Detection. | |
Wutyi et al. | Heuristic rules for attack detection charged by NSL KDD dataset | |
CN116248362A (zh) | 一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120627 Termination date: 20180702 |