毕业翻译 电信 计算机 以社区为基础的流行应用程序的异常检测.doc

 以社区为基础的流行应用程序的异常检测摘要：保卫终端用户系统的一个重大的挑战是流行应用程序存在运行时被劫持的风险。由于传统代码本身是一成不变的并且局部异常探测器由于训练数据不足难 以调整为正确的阈值，传统的措施很难阻止这些威胁。考虑到被攻击目标的通常 是受欢迎的进行交流沟通和社交网络的应用程序，我们提出一个新颖的、自动化 的方法，系综，它是基于调用应用的本地的行为概要文件给一个全球概要文件合 并引擎的社区用户信任的免费系统。这种信任可以被认为 存在于企业环境和可 以进一步监管声誉系统中。例如，通过利用社交网络中固有的信任关系。这些生 成的全球配置文件可以被所有社区用户用来对当地异常进行检测和预防。基于 57 个恶意软件的评价结果清楚说明系综是一种能够在企业环境中有效的防御约 300 或更多的用户的技术。1 介绍由于多种多种原因终端用户系统很难确保安全。他们是典型的非托管：用户疯 狂的下载软件、上网等等。在本文中，我们主要讲解受欢迎的应用程序在运行时 被劫持攻击的防御。在过去，这些劫持已经导致了广泛的攻击，如 Skype 的蠕虫 通过使用 Skype 和缓冲区溢出在 Outlook 电子邮件客户端传播执行任意代码。 传统 的措施，例如杀毒扫描器，不能阻止这些威胁，因为应用程序代码本身是未修改 的。以前的工作表明，系统调用层次剖析可能有助于检测这样的攻击，但一个重 要的障碍是早期缺乏足够的训练数据，确保低误判率。在本文中，我们提出一种 新的无监督整体异常检测方法，基于的理念是一个值得信赖的社区的用户贡献本 地应用程序配置文件给一个共同的合并引擎系统调用。全球概要文件可以用来在 每一台终端主机上的应用程序行为中进行实时异常检测或防御。这种方法的承诺 是，它有助于克服在每个主机上缺乏足够的训练数据问题，很大程度上的可以实 现自动化。面临的挑战是要制定这样一个的系统效率，克服在概要文件由于如安 装目录或硬件的变化因素形成的分歧并确定适当的信息收集在概要文件。 潜在的假设集合是，随着数量的本地配置文件增加，全球总体轮廓往往收敛， 从而揭示了正常行为的目标应用程序。尽管我们确定在部分类型的应用程序会出 现异常，但我们发现实验中大多数应用程序满足这个属性。 本文作以下方面的讨论。 处理执行环境的多样性。基于社区的各种因素影响剖析，例如，同一个应用程1 序在不同的主机上可以安装在不同的目录中，在不同数量的内存中运行，甚至使 用不同数量的 cpu。所有这些因素都会导致在系统调用跟踪他们的参数引起变化。 我们确定类型的数据用于生成行为概要文件来处理这些变化，同时保持概要文件 应用程序的紧凑和代表。 社区规模和假阳性利率之间关系的分析。我们首先应用基于社区的异常检测到 一个社区的 12 个用户使用正常，干净的即时消息应用程序。详细的系统调用级别 数据是在 5 个小时中抽取 50 分钟的采样数据，每一分钟的采样数据在局部剖面基 础上生成。我们发现，假阳性高费率将重点关注中，就像使用单一主机分析使用 系统调用。一个试验台虚拟机被用于研究的影响扩大到一个更大的系统的用户社 区。我现发现，一般来说，技术会变得更加有效和适合更大的社区。在观察在达 到大约 300 用户后我们发现误判率显著减少。 技术通过分析应用程序生成分享总汇数据来减少数据传输。我们发现当每个主 机收集详细的系统调用级数据提供给局部分析时，它只需要发送一个适度的本地 配置文件数据/应用程序(大约 4 - 5 KB /秒)到一个共同的服务器来创建社区的文 件。 一个通用的接口。我们的系统提供了一个有用的抽象接口来使得任何目标应用 程序得到保护。多个应用程序可以订阅系综服务。在 Windows 中的系综是目前在 用户空间实现。我们采用迂回库[27]微软研究院拦截系统调用为目标的应用。为提 高效率，讨论§ 4.2，系综可以作为一个服务的操作系统的内核来实现。接下来的文 章组织如下:§ 概述相关工作;§ 描述了整体模型的系综;§ 实现我们的细节;和§ 2 3 4 5 评估系统实验。最后，§ 结束前的讨论局限性§ 结束。 6 72 相关工作我们的工作，提高现有的工作，在异常检测领域的探索以社区为基础的分析， 生成详细的运行时行为的适用性在系统调用级别的应用程序的配置文件。 下面我们将重点介绍一些相关的在恶意软件检测和遏制方法。 异常检测。第一个研究应用程序异常检测是福里斯特等。他们多次执行一个程 序用不同的输入来收集系统调用序列，然后使用这些形成基线行为的程序。任何 重大偏离基线被认为是一个异常。许多后续的研究包括机如隐马尔可夫模型和神 经网络的学习技术。后来的研究研究纳入的系统调用参数，调用堆栈信息。生成 通用模型从不同的运行是一个比较复杂的问