学位论文 > 优秀研究生学位论文题录展示
基于条件随机场的入侵检测方法研究
作 者: 牛冰茹
导 师: 刘培玉
学 校: 山东师范大学
专 业: 计算机应用技术
关键词: 入侵检测 PE病毒 API调用序列 攻击树 条件随机场
分类号: TP393.08
类 型: 硕士论文
年 份: 2014年
下 载: 5次
引 用: 0次
阅 读: 论文下载
内容摘要
入侵检测是一项历久弥新的技术,只要有信息技术的地方就有计算机入侵,只要存在入侵就需要入侵检测系统。入侵检测从产生至今发生了非常大的变化,从简单到复杂,从单一到多样化。PE文件作为计算机程序的核心能够体现程序的行为,其行为通过系统服务接口API来完成。因此API序列的组成就代表了程序的行为组成。条件随机场模型是一种近几年提出的一种用于语言处理方面的序列标注问题和命名实体识别方面的机器学习的方法,是一种判别式的无向图模型,该模型通过可观测状态序列构建未观测标注序列的条件分布,根据概率公理选择条件概率较大的标注序列作为其对应的状态序列,实现对分析对象的分类。序列数据的处理和丰富的特征标签结合在一起,使条件随机场模型特别适用于感知上下文要求的分类。基于以上理论,本文采用一种基于统计和条件随机场模型的机器学习的方法,以PE文件为数据源,进行入侵检测方面的研究。本文的研究工作主要包括以下创新点:(1)针对PE文件结构,获取并分析PE文件头部信息,总结PE文件的结构性异常,无需对程序监控和文件脱壳,在程序运行之前就可以根据异常项判断程序是否为病毒文件或者被病毒感染入侵。(2)通过分析程序的PE文件提取API函数调用序列,将其分割为长度为k的短序列与攻击树匹配,再对攻击树各节点计算其发生的概率及恶意性权值,最后综合计算攻击树根节点代表事件的危险指数用来估计该程序与木马的相似程度,从而判断程序为木马程序或者包含木马部分的可能性,以准确地检测和防范木马攻击。(3)结合PE文件中API函数的上下文信息和领域知识,以API调用序列作为观察序列,文件类别作为标记序列,对每一个API函数进行标注,运用条件随机场模型,通过训练集的训练判断每个API函数的标注类别,最终对待测文件的API序列中的每一个观察序列进行标注,根据标注的具体比例,判断PE文件的类别,最终实现将基于PE文件的入侵检测问题转换成入侵与非入侵的二分类问题,同时结合病毒文件的结构性异常分析,实现较好的入侵检测的效果。(4)在磁盘监控和PE文件结构解析的基础上,进行入侵检测模型的设计与实现。
|
全文目录
摘要 6-7 ABSTRACT 7-8 第一章 绪论 8-14 1.1 研究背景及意义 8-9 1.2 研究现状 9-11 1.2.1 基于 API 调用序列的入侵检测 10 1.2.2 条件随机场模型 10-11 1.3 本文研究工作 11-12 1.4 文章组织结构 12-14 第二章 预备知识与基础理论 14-22 2.1 入侵检测技术 14-15 2.2 PE 文件格式简介 15-18 2.2.1 PE 文件结构解析 15-16 2.2.2 PE 文件的 API 调用机制 16-17 2.2.3 常见 PE 异常结构 17-18 2.3 条件随机场模型 18-21 2.3.1 条件随机场模型的定义 18-19 2.3.2 特征函数 19-20 2.3.3 模型参数估计 20 2.3.4 模型概率矩阵 20-21 2.3.5 基于条件随机场的入侵检测模型 21 2.4 本章小结 21-22 第三章 基于攻击树的入侵检测 22-30 3.1 扩展攻击树模型 22-24 3.2 攻击树的匹配 24-26 3.2.1 获取疑似异常 API 序列 24-25 3.2.2 攻击子树的匹配与生成 25-26 3.3 文件危险指数的确定 26-28 3.3.1 节点概率值的确定 26-27 3.3.2 节点恶意性权值的确定 27-28 3.3.3 文件危险指数的确定 28 3.4 实验分析 28-29 3.5 本章小结 29-30 第四章 基于条件随机场的入侵检测模型 30-40 4.1 PE 文件预处理 30-33 4.1.1 结构性异常项 30-31 4.1.2 特征预处理 31-32 4.1.3 利用信息增益进行特征选择 32 4.1.4 特征权重计算 32-33 4.2 特征模板的选择 33-35 4.2.1 特征模板的定义 33 4.2.2 特征模板的选择 33-35 4.3 条件随机场模型的确定 35-36 4.3.1 特征函数表示 35-36 4.3.2 类别模型的生成 36 4.4 分类结果的判断 36-37 4.5 实验结果与分析 37-39 4.5.1 实验准备 37-38 4.5.2 实验过程 38-39 4.5.3 实验结果分析 39 4.6 本章小结 39-40 第五章 入侵检测模型的设计与实现 40-44 5.1 入侵检测功能的实现流程 40 5.2 文件监控功能 40-41 5.3 PE 文件分析部分 41-43 5.3.1 PE 头部分析部分 41 5.3.2 PE 文件导入表分析 41-42 5.3.3 获取候选特征 42-43 5.4 模型训练与测试 43 5.5 入侵检测与预警 43 5.6 本章小结 43-44 第六章 总结与展望 44-46 6.1 总结 44 6.2 展望 44-46 参考文献 46-50 已发表的学术论文 50 参与的科研项目 50-51 致谢 51
|
相似论文
- 基于行为可信的无线传感器网络入侵检测技术的研究,TP212.9
- 基于关联规则挖掘的入侵检测系统的研究与实现,TP393.08
- 基于特征选择的入侵检测研究,TP393.08
- 基于机器学习的入侵检测系统研究,TP393.08
- 基于FPGA的网络入侵检测系统的设计,TP393.08
- 基于计算机免疫的入侵检测系统研究,TP393.08
- 一个基于模式匹配的轻量级网络入侵检测系统设计与实现,TP393.08
- 评价对象抽取研究,TP391.1
- 基于半监督模糊聚类的入侵防御技术研究,TP393.08
- 汉语嵌套命名实体识别方法研究,TP391.1
- 一种基于蜜罐技术的主动防御系统模型研究,TP393.08
- 无线传感器网络中数据融合的安全性研究,TP212.9
- 基于条件随机场的中文分词技术的研究与实现,TP391.1
- 基于贝叶斯网络的攻击图分析,TP393.08
- 正交权函数神经网络灵敏度研究及其应用,TP183
- 在复杂场景下的入侵检测,TP391.41
- 基于字词联合解码的中文分词研究,TP391.1
- 基于模糊综合评判入侵检测系统的研究,TP393.08
- 集成学习及其应用研究,TP181
- 支持向量机在入侵检测系统中的应用,TP18
- 贝叶斯分类及其在入侵检测中的应用研究,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|