基于非定长系统调用序列的程序行为动态度量方法

Dynamic measurement of program behavior based on variable-length system call sequence

下载PDF

导出

摘要针对目前程序动态度量研究中实时性与准确性较差的问题,提出了一种利用程序行为特征进行度量的方法。通过筛选程序运行过程中产生的系统调用,依据其关联特性构成非定长系统调用序列作为程序的行为特征;采用后缀树结构设计实时特征度量匹配算法(feature matching with updating suffix tree,FMUS),实现了程序运行过程中的实时特征匹配。实验表明,该方法具有较高的准确率和低时间耗费比。 Aiming at the problem of poor instantaneity and low accuracy in current study of dynamic measure. ment,this paper proposed a kind of measurement method using the program behavior feature. It constituted variable-length system call sequences as behavior features according to the sifting and relevance analyzing of system calls generated from running program. It devised the FMUS algorithm based on suffix tree and achieved the feature matching when program was running. Experiments on the selected samples show that this method has high accuracy and low time expending rate.

作者蔡洪波单征范超赵炳麟

机构地区数学工程与先进计算国家重点实验室

出处《计算机应用研究》 CSCD 北大核心 2016年第4期1154-1158,共5页 Application Research of Computers

基金国家自然科学基金资助项目(61472447)

关键词动态度量行为特征非定长系统调用序列后缀树 dynamic measurement behavior feature variable length system call sequence suffix tree

分类号 TP309 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献16

1Moser A, Kruegel C, Kirda E. Limits of static analysis for malware detection[C] //Proc of the 3rd Annual Computer Security Applications Conference. [S. l.] :IEEE Press, 2007:421-430.
2Forrest S, Hofmeyr S A, Somayaji A, et al. A sense of self for UNIX processes[C] //Proc of IEEE Symposium on Security and Privacy. [S. l.] :IEEE Press, 1996:120-128.
3Frossi A, Maggi F, Rizzo G L, et al. Selecting and improving system call models for anomaly detection[M] //Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin:Springer, 2009:206-223.
4Hofmeyr S A, Forrest S, Somayaji A. Intrusion detection using sequences of system calls[J] . Journal of Computer Security, 1998, 6(3):151-180.
5Warrender C, Forrest S, Pearlmutter B A. Detecting intrusions using system calls:alternative data models[C] //Proc of IEEE Symposium on Security and Privacy. 1999.
6Wespi A, Dacier M, Debar H. Intrusion detection using variable-length audit trail patterns[C] //Proc of the 3rd International Workshop on Recent Advances in Intrusion Detection. Berlin:Springer, 2000:110-129.
7王福宏,彭勤科,李乃捷.基于不定长系统调用序列模式的入侵检测方法[J].计算机工程,2006,32(20):143-146. 被引量：2
8张诚,彭勤科.基于系统调用与进程堆栈信息的入侵检测方法[J].计算机工程,2007,33(7):139-142. 被引量：2
9徐明,陈纯,应晶.基于系统调用分类的异常检测(英文)[J].软件学报,2004,15(3):391-403. 被引量：27
10Han Sangjun, Cho S B. Evolutionary neural networks for anomaly detection based on the behavior of a program[J] . IEEE Trans on Systems, Man, and Cybernetics, Part B:Cybernetics, 2005, 36(3):559-570.

二级参考文献47

1JACOB G,DEBAR H,FILIOL E.Behavioral detection of malware:from a survey towards an established taxonomy[EB/OL].[2009-08-20].http://www.springerlink.com/content/r13551gu0mt85352.
2CHRISTODORESCU M,JHA S,KRUEGEL C.Mining specifications of malicious behavior[C] // Proceedings of the 6th Joint Meeting of the European Software Engineering Conference and the ACM SIGSOFT Symposium.New York:ACM,2007:5-14.
3PREDA M D,CHRISTODORESCU M,JHA S,et al.A semantics-based approach to malware detection[C] // Proceedings of the 34th Annual ACM SIGPLAN-SIGACT Symposium on Principles of Programming Languages.New York:ACM,2007:377-388.
4KINDER J,KATZENBEISSER S,SCHALLHART C,et al.Detecting malicious code by model checking[EB/OL].[2009-08-20].http://www.forsyte.at/～kinder/download.php?t=1&k=mcodedimva05.
5金然.恶意代码分析与检测中的若干关键技术研究[D].郑州:信息工程大学,2008.
6WILLEMS C,HOLZ T,FREILING F.Toward automated dynamic malware analysis using CWSandbox[J].IEEE Security and Privacy,2007,5(2):32-39.
7BAYER U.TTAnalyze:A tool for analyzing malware[D].Vienna:Technical University of Vienna,2005.
8JOSSE S.Rootkit detection from outside the matrix[EB/OL].[2009-08-20].http://www.springerlink.com/content/n3571l1366l4mwn6.
9JACOB G,DEBAR H,FILIOL E.Malware as interaction machines:A new framework for behavior modeling[EB/OL].[2009-08-20].http://www.springerlink.com/content/a24r43428u77u626/.
10TING R M H,BAILEY J.Mining minimal contrast subgraph patterns[EB/OL].[2009-08-25].http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.103.1958&rep=rep1&type=pdf.

共引文献31

1高超,王丽君.基于系统调用的入侵检测技术研究[J].信息安全与通信保密,2005(7):332-336. 被引量：3
2陈鹏,秦拯,龚发根.网络入侵检测系统中多模式匹配算法的研究[J].科学技术与工程,2005,5(13):914-916. 被引量：2
3吴庆涛,邵志清.入侵检测研究综述[J].计算机应用研究,2005,22(12):11-14. 被引量：19
4李凌楠,岳兵.基于系统调用序列的状态转换检测新方法[J].天津理工大学学报,2006,22(1):9-12.
5黄金钟,朱淼良,郭晔.基于文法的异常检测[J].浙江大学学报（工学版）,2006,40(2):243-248. 被引量：3
6高超,王丽君.数据挖掘技术在基于系统调用的入侵检测中的应用[J].鞍山科技大学学报,2006,29(1):45-49. 被引量：3
7王志欣.天健的商道[J].软件世界,2006(23):30-30.
8王彩荣.入侵检测模型实用分析与研究[J].计算机安全,2007(10):44-46.
9陆炜,曾庆凯.一种基于控制流的程序行为扩展模型[J].软件学报,2007,18(11):2841-2850. 被引量：8
10周星,彭勤科,王静波.基于两层隐马尔可夫模型的入侵检测方法[J].计算机应用研究,2008,25(3):911-914. 被引量：4

1纪晓宇,冷冰,周洁.一种基于行为的可信计算动态度量方法[J].通信技术,2015,48(11):1290-1294. 被引量：1
2叶建威,叶建芳.用动态度量方法加强软件开发过程管理[J].计算机与数字工程,2009,37(1):88-90.
3刘栋,张彩环.一种可扩展的SOA服务质量描述模型[J].计算机科学,2012,39(B06):339-342. 被引量：2
4李凤海,张佰龙,杜皎,宋衍,李爽.一种基于可信计算的涉密文件抗丢失技术[J].中国科学院大学学报（中英文）,2015,32(5):714-720. 被引量：1
5刘巍伟,韩臻,沈昌祥.基于终端行为的可信网络连接控制方案[J].通信学报,2009,30(11):127-134. 被引量：13
6蒋红英,鲁进步.动态度量三维几何形体[J].甘肃工业大学学报,1997,23(2):84-87.
7邓锐,陈左宁.基于策略嵌入和可信计算的完整性主动动态度量架构[J].计算机应用研究,2013,30(1):261-264. 被引量：6
8袁朝辉,王纪森,葛思擘,何长安.一种非线性复合控制器的仿真方法[J].计算机仿真,1995,12(3):46-49.
9邢哲,梁竞帆,朱青.多维度自适应的协同过滤推荐算法[J].小型微型计算机系统,2011,32(11):2210-2216. 被引量：5
10耿玉水.DOS筛选程序功能及编程方法[J].新浪潮,1991(1):27-29.

计算机应用研究

2016年第4期

浏览历史

内容加载中请稍等...

基于非定长系统调用序列的程序行为动态度量方法

参考文献16

二级参考文献47

共引文献31

相关作者

相关机构

相关主题

浏览历史