系统调用

摘要： 针对现有的基于系统调用的异常入侵检测方法使用单一轨迹模式无法准确反映进程行为的问题,基于系统调用轨迹的顺序和频率模式对进程行为进行建模,设计了一个数据驱动的异常检测框架。该框架可以同时检测系统调用轨迹的顺序异常和定量异常,借助组合窗口机制,通过满足离线训练和线上检测对提取轨迹信息的不同需求,可以实现离线细粒度学习和线上异常实时检测。在ADFA-LD入侵检测标准数据集上进行了针对未知异常检测性能的对比实验,结果表明,相比4类传统机器学习方法和4类深度学习方法,该框架的综合检测性能提高了10%左右。

摘要： 针对内核在线分析工具,使用服务器计算函数调用图存在渲染时间长、网络传输数据量大等问题,基于Node.js的前端渲染函数调用图工具FRCG(front-end rendering call graph),使用前后端分离的方式,将数据处理与调用图渲染拆分到前后端分别进行。服务器异步处理请求,返回JSON数据,优化传输数据量。前端页面请求数据,动态渲染函数调用图,页面通过对数据的更新实现图的切换和操作功能,提高调用图的灵活性。对比测试表明,FRCG工具有效提高了函数调用图生成速度,减少了传输数据量。

摘要： 针对传统静态检测及动态检测方法无法应对基于大量混淆及未知技术的PDF文档攻击的缺陷,提出了一个基于系统调用和数据溯源技术的新型检测模型NtProvenancer。首先,使用系统调用捕获工具收集文档执行时产生的系统调用记录;其次,利用数据溯源技术构建基于系统调用的数据溯源图;而后,用图的路径筛选算法提取系统调用特征片段进行检测。实验数据集由528个良性PDF文档与320个恶意PDF文档组成。在Adobe Reader上展开测试,并使用词频-逆文档频率(TF-IDF)及PROVDETECTOR稀有度算法替换所提出的图的关键点算法来进行对比实验。结果表明NtProvenancer在精确率和F1分数等多项指标上均优于对比模型。在最佳参数设置下,所提模型的文档训练与检测阶段的平均用时分别为251.51 ms以及60.55 ms,同时误报率低于5.22%,F1分数达到0.989。可见NtProvenancer是一种高效实用的PDF文档检测模型。

摘要： 随着虚拟化技术的爆炸式增长,Docker已占领了容器技术主流市场,但由于其轻量级的隔离方式导致安全问题频出.如阿里、京东、字节跳动等企业都开始采用Docker容器技术,容器安全与用户的财产安全紧密相关,而针对Docker容器安全的研究还存在较大欠缺,高效且安全的虚拟化解决方案需求也逐步增加.本文提出一种基于系统调用的Docker容器异常检测方案(Docker Anomaly Detection Based on System Call,DADBS),旨在通过分析系统调用序列,捕获容器运行时应用程序所发生的异常进程行为.DADBS通过跟踪容器内运行进程收集应用程序系统调用序列,结合系统调用级别及多级别TF-IDF量化评分筛选序列冗余信息,使用长短期记忆神经网络学习正常行为构建系统调用语言模型,最终采用余弦相似度偏差进行异常判断.经云环境下实验证明该模型在ADFA公开数据集上取得0.848的AUC值,且在Docker容器实际攻击场景都能够高效检测出进程异常行为.

摘要： 容器技术以其轻便、灵活和快速部署等特点提高了应用分发部署效率.然而,资源隔离性低和共享内核的特性却给容器和云平台引入了新的安全风险.本文提出了一种基于系统调用序列和长短期记忆(Long Short-Term Memory,LSTM)神经网络的容器内进程异常行为检测方案,通过无代理监控模式采集进程全生命周期的系统调用序列数据,并利用LSTM捕获序列的语义特征,同时采用局部窗口内累积偏差的方式,提出了两种异常判决方法.此外,为优化模型训练效率,设计了一种短序列样本同比去重算法.在公开数据集和复现的实际攻击场景下的实验结果表明,该方案能有效检出容器内进程的异常行为,且检测效果优于同类的其它方法.

摘要： 本文先分析了Linux系统调用的过程,然后介绍了位于Linux内核的脚本执行引擎的实现及其组成结构。脚本执行引擎编译用户进程提供的脚本文件,生成可执行代码并执行,完成用户进程对内核服务的访问请求。通过这种方式,可以有效地减少用户进程频繁的执行系统调用中需要进行用户态和内核态的状态转换次数,减少了用户进程执行系统调用耗费的时间,进而提升了用户进程执行的性能。最后通过测试,证明了通过内核脚本执行引擎实现用户程序执行系统调用系统性能提升的这种方式的可行性。

摘要： 基于内核模块抽象的主机入侵检测方法中,同一内核模块的部分系统调用存在较大行为差异,且不同内核模块也含有行为相似的系统调用,造成行为抽象映射的混淆,影响检测效果.提出了一种基于系统调用行为相似性聚类的主机入侵检测方法,首先利用Word2Vec构建连续稠密词向量实现多维度系统调用行为语义相似性信息提取,再使用聚类算法对系统调用进行抽象表征,减小行为抽象映射的混淆.基于ADFA-LD和ADFA-WD数据集的实验结果表明,该方法能够有效降低行为抽象表征的混淆,提升检测效果.同时,可通过选取聚类簇数较大幅度提高检测时间效率,实用价值大.

摘要： 基于内核模块抽象的主机入侵检测方法中,同一内核模块的部分系统调用存在较大行为差异,且不同内核模块也含有行为相似的系统调用,造成行为抽象映射的混淆,影响检测效果.提出了一种基于系统调用行为相似性聚类的主机入侵检测方法,首先利用Word2Vec构建连续稠密词向量实现多维度系统调用行为语义相似性信息提取,再使用聚类算法对系统调用进行抽象表征,减小行为抽象映射的混淆.基于ADFA-LD和ADFA-WD数据集的实验结果表明,该方法能够有效降低行为抽象表征的混淆,提升检测效果.同时,可通过选取聚类簇数较大幅度提高检测时间效率,实用价值大.

摘要： 利用非负矩阵分解对系统监控的特权程序行为进行检测,进而发现异常的入侵行为.在矩阵分解过程中采用Alpha散度作为度量标准,并引入遗传规划算法对非负矩阵分解中的误差函数进行优化.实验中,对新墨西哥大学的Sun SPARC工作站上获取的系统调用数据和CICIDS2017数据集进行了测试,测试结果表明,该方法相对于传统的检测方法而言,在入侵检测精度方面具有良好性能.

摘要： 随着航空电子技术的发展,分区操作系统应用也越来越广泛.对系统调用的独立应用架构和共享应用架构进行了研究,分析了两种架构的应用模式和应用模式调度,提出了分区操作系统平台系统调用的设计框架、分区设备软件接口分类、系统调用模块结构、系统调用管理设计流程及实现思路,为综合化航电系统多分区系统平台的软件设计、开发提供可依据.

摘要： 内存错误是指计算机程序对内存读取与写入、分配与释放、内存泄露等与内存有关的错误,对程序的可靠性有着非常重要的影响.一旦程序在运行期间发生内存错误,则可能导致错误的运算结果或者程序异常退出.对于Linux内核来讲,内存错误带来的后果可能更加严重,甚至可以直接造成系统崩溃;所以主要针对Linux内核中可能发生的内存错误进行分析研究,开发了相应的检测工具.检测工具是在S2E的基础上开发的,融合了动态分析、符号执行、具体执行、全系统模拟等技术,可以用于检测Linux系统调用所能引发的内存分配和内存使用有关的错误.

摘要： 软件动态行为可信度量是可信计算必须要解决的关键问题之一。对该问题的关键一环，软件动态行为建模理论和方法，进行了研究：以系统调用为建模对象，从软件行为学的观点出发，将软件动态行为刻画为进程代数CCS(calculus of communication system)动作的形式。在此基础上，提出了软件动态行为模型的形式化表达DBMS={SCSS,E}，其中，SCSS是整个系统的系统调用序列，E是一套基于CCS的行为变换操作符，结合SCSS和E，能够表达系统内任意软件的任意行为。进一步地，提出了一种分布式软件动态行为度量架构，利用该架构能够增强软件动态行为度量的准确性，并提高度量效率。

摘要： 在系统调用异常检测中，系统调用短序列簇发性异常对入侵行为具备更强的敏感性．但是，目前对于单个系统调用短序列内部的簇发性异常的研究工作尚较为缺乏．本文从系统调用短序列的匹配异常模式出发，采用非线性单调函数度量短序列内部的簇发性异常．在Sendmai1数据集上的实验表明，与同类检测方法相比，该方法较大程度地提高了系统调用异常检测的性能．

摘要： 提出一种借助系统调用实现基于信息流的完整性度量的方法。该方法将度量过程分为离线阶段和运行阶段。在离线阶段,软件执行的系统调用被监控和记录,结合系统调用和信息流的关系抽象出软件的信息流基准值。在运行阶段,分析软件运行时的系统调用信息,获得软件运行时的信息流,根据信息流基准值检查软件的信息流是否出现异常,度量软件的完整性。为了验证方法的可行性,文章以Apache服务器为例,实现该方法的原型系统。实验表明该方法能够发现软件运行时完整性被破坏而出现的异常信息流。

摘要： 功能模拟器是处理器研制中的重要工具,不但可以辅助体系结构原型设计和功能验证,还可支持系统软件的早期开发.本文以Wisconsin Madison大学发布的SimpleScalar为例,详细介绍了应用程序级功能模拟器的原理并从体系结构状态、存储映射、指令语义和系统调用等方面分析了功能模拟器的结构和实现，对面向国产指令集的功能模拟器研制具有重要的指导作用。

摘要： 在大数据量的小包分组加密过程中,需要频繁地系统调用做内存分配和释放操作,处理效率较低并产生大量内存碎片.本文提出一种基于小包加密的内存使用优化方案.针对当前Linux常用的内存使用方案进行分析,并研究和实现一种改进方案以提升内存池的性能.经系统化的对比分析和实验测试,表明该方案比Linux系统调用的内存池方案在针对小包分组加密中至少缩短15％到接近50％的时间,并在一定程度上减少了内存碎片和提高内存分配成功率.

摘要： 本文描述了在Windows平台下以无效输入测试为主要工作的系统健壮性测试方法。以Windows API函数和C库函数为主要测试对象，依靠系统调用输入异常参数来检测进程终止或系统崩溃等有关系统健壮性的现象的技术，对143个系统调用和94个C库函数进行测试．在统计结果方面，本文并没有对单一函数进行失效率分析，而是把这些函数按照功能分为不同的小组，每个小组都代表系统的一个功能模块，针对不同的小组给出了一个函数集合的失效率，这个失效率也就反映出了系统在相应功能模块的健壮性。实验结果表明，这种方法可以很好的测试出系统软件的健壮性，这些系统调用以及函数在健壮性方面都存在着不同程度的不完善。

摘要： Rootkit是攻击者入侵操作系统后，用于秘密保留对目标机器的超级访问权限的一项技术.首先分析了内核级rootkit的原理，分析了现有的Iinux rootkit的检测方法并指出其中的不足.在此基础上，提出一种基于交叉视图的隐藏恶意代码自动检测方法，并提出了系统恢复的机制.提及的检测和恢复系统以可加载内核模块的形式实现，可还原被恶意修改的系统调用表的内容，终止隐藏的进程，移除隐藏的文件，阻止攻击网络流.实验数据表明提出的方法是有效可行的.

摘要： 将分布在医院各业务系统的规则集中整理,并对业务规则给出统一实现方法,预留扩展接口,使医院宝贵的规则资源得到统一维护和管理,降低业务系统建设的复杂度,提高系统的稳定性.

摘要： 将分布在医院各业务系统的规则集中整理,并对业务规则给出统一实现方法,预留扩展接口,使医院宝贵的规则资源得到统一维护和管理,降低业务系统建设的复杂度,提高系统的稳定性.

摘要： 本发明提供了一种系统调用函数的调用方法及装置，其中调用方法包括：扫描内存，查找到其中包含的至少一个软中断指令；根据软中断指令与系统调用函数的映射关系，确定至少一个软中断指令所对应的至少一个系统调用函数；选择本次所需的目标系统调用函数，并查找到目标系统调用函数的入口地址；经查找到的入口地址调用目标系统调用函数。采用本发明能够在函数符号表被删除的情况下，通过软中断指令确定系统调用函数，进一步根据用户需求选择目标系统调用函数，进而查找该目标系统调用函数的入口地址，实现系统调用函数的调用，解决了现有技术中在函数符号表被删除的情况下无法进行系统调用函数调用的问题，为用户提供了极大的方便。

摘要： 本说明书提供了一种SOA系统架构下的系统调用方法、装置、设备及SOA系统。当收到服务请求时，根据被调用系统的响应时间确定是否对服务请求进行筛选；如果是，则对所述服务请求进行筛选，并基于筛选获得的目标服务请求获取针对被调用系统的调用结果，以响应所述目标服务请求。可以根据被调用系统的响应时间动态的调整服务请求响应系统给被调用系统发送服务请求的流量，避免因被调用系统响应时间过长占用服务请求响应系统的资源，对服务请求响应系统资源造成浪费，既保证了服务请求响应系统的系统稳定性，又可以筛选出需要优先处理的服务请求，保证这些服务请求被及时处理。

摘要： 本发明提供了一种系统调用函数的调用方法及装置，其中调用方法包括：扫描内存，查找到其中包含的至少一个软中断指令；根据软中断指令与系统调用函数的映射关系，确定至少一个软中断指令所对应的至少一个系统调用函数；选择本次所需的目标系统调用函数，并查找到目标系统调用函数的入口地址；经查找到的入口地址调用目标系统调用函数。采用本发明能够在函数符号表被删除的情况下，通过软中断指令确定系统调用函数，进一步根据用户需求选择目标系统调用函数，进而查找该目标系统调用函数的入口地址，实现系统调用函数的调用，解决了现有技术中在函数符号表被删除的情况下无法进行系统调用函数调用的问题，为用户提供了极大的方便。

摘要： 本说明书提供了一种SOA系统架构下的系统调用方法、装置、设备及SOA系统。当收到服务请求时，根据被调用系统的响应时间确定是否对服务请求进行筛选；如果是，则对所述服务请求进行筛选，并基于筛选获得的目标服务请求获取针对被调用系统的调用结果，以响应所述目标服务请求。可以根据被调用系统的响应时间动态的调整服务请求响应系统给被调用系统发送服务请求的流量，避免因被调用系统响应时间过长占用服务请求响应系统的资源，对服务请求响应系统资源造成浪费，既保证了服务请求响应系统的系统稳定性，又可以筛选出需要优先处理的服务请求，保证这些服务请求被及时处理。

摘要： 本发明公开了一种实时控制分布式系统调用外系统服务频次的方法，通过缓存服务器对各服务节点接口调用频次进行实时监控，部署仲裁服务器收集各服务节点接口调用频次进行分析，并通过设置各服务节点接口调用频次阈值的方式进行控制。本发明还公开了一种实时控制分布式系统调用外系统服务频次的系统，包括多个服务节点、缓存服务器和仲裁服务器。本发明能够实时监控分布式系统各服务节点接口的调用频次，有效降低了超频风险。

摘要： 本发明提供一种基于操作系统的对象模型构建方法及其系统调用接口，该方法包括获取调用指令，创建对象所需的通信端口，构建对象模型，将操作系统的任务概念进行拓展；当有多个对象进行通信时，各个对象被独立寻址并通过自身带有的端口与其他对象进行网络的透明通信；其中，其它对象通过输入端口向当前对象传递数据、发送信号和事件以及从当前对象输出端口获取信息。本发明的系统调用接口是基于上述对象模型来定义和实现的。应用本发明可以保证对象在系统内部独立运行能力，极大丰富了对象间交互控制方式，并且可以根据自身需求向其他对象实体请求服务，进行异步或者同步的控制，满足双方的交互控制需求，从而实现系统级功能。

摘要： 本申请属于虚拟操作系统技术领域。具体提供了一种微内核虚拟化操作系统的系统调用方法和装置，该方法包括：通过开发工具，自定义配置虚拟机的系统调用的权限，并将配置信息注入微内核；在虚拟机执行系统调用请求时，所述微内核根据所述配置信息，确定对应系统调用的权限，以及根据确定的权限给予调用响应。基于本申请提供的技术方案，用户可以自主定义每个虚拟机系统功能的调用权限，从而实现差异化管理。

摘要： 本发明属于计算机安全技术领域，具体涉及一种基于Linux系统调用的攻击检测方法与系统，包括：获取系统生成的系统调用，将系统调用序列截取成等长的子序列作为待检测的序列，并转换为词向量形式的检测序列；通过深度学习检测模型初步判定词向量形式的检测序列的类别，若判定为异常序列，则将该序列放入攻击库，更新检测匹配库，若判定为正常序列；将初步判定为正常的序列通过与检测匹配库进行匹配度对比；采用集群计算判断匹配库不能判定类别的序列，得到检测结果。本发明对于派生攻击检测采用深度学习模型和匹配库的方式，对于未知攻击，采用集群检测的方式，解决了系统调用序列存在冗余调用以及序列过长和入侵检测的漏报率。

摘要： 本系统和方法的实施例可以通过在专用地址空间中执行系统调用以减少对恶意应用可见并因此可由恶意应用利用的共享资源的量来在操作系统内核本身内部提供附加的安全机制。例如，在实施例中，一种在计算机中实现的方法，该计算机可包括处理器、可由处理器访问的存储器以及存储在存储器中且可由处理器执行的计算机程序指令，该方法可以包括：当用户进程进行系统调用时，切换到内核模式，并使用用于用户进程的系统调用页表以执行系统调用处理程序，当系统调用处理程序尝试访问未映射的内核空间存储器时，生成页错误，以及通过确定是否允许对未映射内核空间存储器的尝试访问来处理页错误。

摘要： 本发明公开了一种任务系统调用链路的表单跟踪系统，包括进入跟踪单元、记录写入线程单元和页面查询单元，进入跟踪单元连接切面生成单元，切面生成单元连接主流程业务单元，主流程业务单元连接切面离开单元，记录写入线程单元连接记录池数据获取单元，页面查询单元连接汇总数据库单元，汇总数据库单元展现分析结果，本发明可以快速对当前触发模型的触发过程、触发关系以及触发结果等进行清晰的描述，快速定位问题，快速提升关联性的性能问题处理以及关联性的有效性问题处理。