[工學(xué)]畢業(yè)翻譯電信計算機(jī)

1、武漢科技大學(xué)本科畢業(yè)設(shè)計外文翻譯本科畢業(yè)設(shè)計外文翻譯外文譯文題目（中文） ：系綜：以社區(qū)為基礎(chǔ)的流行應(yīng)用程序的異常檢測學(xué) 院:信息科學(xué)與工程學(xué)院專 業(yè):電子信息工程學(xué) 號:200904135138學(xué)生姓名:陳杰指導(dǎo)教師:陳建良日 期:2013-5-81Ensemble：Community-Based Anomaly Detection for Popular ApplicationsFeng Qian, Zhiyun Qian, Z. Morley Mao, and Atul PrakashUniversity of Michigan, Ann Arbor MI 48109, USARobus

2、tNet Research Group系綜：以社區(qū)為基礎(chǔ)的流行應(yīng)用程序的異常檢測馮倩，錢志云，Z.莫利毛，阿圖爾·普拉卡什 密西根大學(xué)安娜堡分校（密歇根州 48109），美國樂百氏網(wǎng)研究小組系綜：以社區(qū)為基礎(chǔ)的流行應(yīng)用程序的異常檢測摘要：保衛(wèi)終端用戶系統(tǒng)的一個重大的挑戰(zhàn)是流行應(yīng)用程序存在運(yùn)行時被劫持的風(fēng)險。由于傳統(tǒng)代碼本身是一成不變的并且局部異常探測器由于訓(xùn)練數(shù)據(jù)不足難以調(diào)整為正確的閾值，傳統(tǒng)的措施很難阻止這些威脅?？紤]到被攻擊目標(biāo)的通常是受歡迎的進(jìn)行交流溝通和社交網(wǎng)絡(luò)的應(yīng)用程序，我們提出一個新穎的、自動化的方法，系綜，它是基于調(diào)用應(yīng)用的本地的行為概要文件給一個全球概要文件合并引擎的

3、社區(qū)用戶信任的免費(fèi)系統(tǒng)。這種信任可以被認(rèn)為 存在于企業(yè)環(huán)境和可以進(jìn)一步監(jiān)管聲譽(yù)系統(tǒng)中。例如，通過利用社交網(wǎng)絡(luò)中固有的信任關(guān)系。這些生成的全球配置文件可以被所有社區(qū)用戶用來對當(dāng)?shù)禺惓＿M(jìn)行檢測和預(yù)防。基于57個惡意軟件的評價結(jié)果清楚說明系綜是一種能夠在企業(yè)環(huán)境中有效的防御約300或更多的用戶的技術(shù)。1 介紹由于多種多種原因終端用戶系統(tǒng)很難確保安全。他們是典型的非托管：用戶瘋狂的下載軟件、上網(wǎng)等等。在本文中，我們主要講解受歡迎的應(yīng)用程序在運(yùn)行時被劫持攻擊的防御。在過去，這些劫持已經(jīng)導(dǎo)致了廣泛的攻擊，如Skype的蠕蟲通過使用Skype和緩沖區(qū)溢出在Outlook電子郵件客戶端傳播執(zhí)行任意代碼。傳統(tǒng)的

4、措施，例如殺毒掃描器，不能阻止這些威脅，因?yàn)閼?yīng)用程序代碼本身是未修改的。以前的工作表明，系統(tǒng)調(diào)用層次剖析可能有助于檢測這樣的攻擊，但一個重要的障礙是早期缺乏足夠的訓(xùn)練數(shù)據(jù)，確保低誤判率。在本文中，我們提出一種新的無監(jiān)督整體異常檢測方法，基于的理念是一個值得信賴的社區(qū)的用戶貢獻(xiàn)本地應(yīng)用程序配置文件給一個共同的合并引擎系統(tǒng)調(diào)用。全球概要文件可以用來在每一臺終端主機(jī)上的應(yīng)用程序行為中進(jìn)行實(shí)時異常檢測或防御。這種方法的承諾是，它有助于克服在每個主機(jī)上缺乏足夠的訓(xùn)練數(shù)據(jù)問題，很大程度上的可以實(shí)現(xiàn)自動化。面臨的挑戰(zhàn)是要制定這樣一個的系統(tǒng)效率，克服在概要文件由于如安裝目錄或硬件的變化因素形成的分歧并確定適當(dāng)

5、的信息收集在概要文件。潛在的假設(shè)集合是，隨著數(shù)量的本地配置文件增加，全球總體輪廓往往收斂，從而揭示了正常行為的目標(biāo)應(yīng)用程序。盡管我們確定在部分類型的應(yīng)用程序會出現(xiàn)異常，但我們發(fā)現(xiàn)實(shí)驗(yàn)中大多數(shù)應(yīng)用程序滿足這個屬性。本文作以下方面的討論。處理執(zhí)行環(huán)境的多樣性。基于社區(qū)的各種因素影響剖析，例如，同一個應(yīng)用程序在不同的主機(jī)上可以安裝在不同的目錄中，在不同數(shù)量的內(nèi)存中運(yùn)行，甚至使用不同數(shù)量的cpu。所有這些因素都會導(dǎo)致在系統(tǒng)調(diào)用跟蹤他們的參數(shù)引起變化。我們確定類型的數(shù)據(jù)用于生成行為概要文件來處理這些變化，同時保持概要文件應(yīng)用程序的緊湊和代表。社區(qū)規(guī)模和假陽性利率之間關(guān)系的分析。我們首先應(yīng)用基于社區(qū)的異常

6、檢測到一個社區(qū)的12個用戶使用正常，干凈的即時消息應(yīng)用程序。詳細(xì)的系統(tǒng)調(diào)用級別數(shù)據(jù)是在5個小時中抽取50分鐘的采樣數(shù)據(jù)，每一分鐘的采樣數(shù)據(jù)在局部剖面基礎(chǔ)上生成。我們發(fā)現(xiàn)，假陽性高費(fèi)率將重點(diǎn)關(guān)注中，就像使用單一主機(jī)分析使用系統(tǒng)調(diào)用。一個試驗(yàn)臺虛擬機(jī)被用于研究的影響擴(kuò)大到一個更大的系統(tǒng)的用戶社區(qū)。我現(xiàn)發(fā)現(xiàn)，一般來說，技術(shù)會變得更加有效和適合更大的社區(qū)。在觀察在達(dá)到大約300用戶后我們發(fā)現(xiàn)誤判率顯著減少。技術(shù)通過分析應(yīng)用程序生成分享總匯數(shù)據(jù)來減少數(shù)據(jù)傳輸。我們發(fā)現(xiàn)當(dāng)每個主機(jī)收集詳細(xì)的系統(tǒng)調(diào)用級數(shù)據(jù)提供給局部分析時，它只需要發(fā)送一個適度的本地配置文件數(shù)據(jù)/應(yīng)用程序(大約4 - 5 KB /秒)到一個共

7、同的服務(wù)器來創(chuàng)建社區(qū)的文件。一個通用的接口。我們的系統(tǒng)提供了一個有用的抽象接口來使得任何目標(biāo)應(yīng)用程序得到保護(hù)。多個應(yīng)用程序可以訂閱系綜服務(wù)。在Windows中的系綜是目前在用戶空間實(shí)現(xiàn)。我們采用迂回庫27微軟研究院攔截系統(tǒng)調(diào)用為目標(biāo)的應(yīng)用。為提高效率，討論§4.2，系綜可以作為一個服務(wù)的操作系統(tǒng)的內(nèi)核來實(shí)現(xiàn)。接下來的文章組織如下:§2概述相關(guān)工作;§3描述了整體模型的系綜;§4實(shí)現(xiàn)我們的細(xì)節(jié);和§5評估系統(tǒng)實(shí)驗(yàn)。最后，§6結(jié)束前的討論局限性§7結(jié)束。2 相關(guān)工作我們的工作，提高現(xiàn)有的工作，在異常檢測領(lǐng)域的探索以社區(qū)為基礎(chǔ)的分

8、析，生成詳細(xì)的運(yùn)行時行為的適用性在系統(tǒng)調(diào)用級別的應(yīng)用程序的配置文件。下面我們將重點(diǎn)介紹一些相關(guān)的在惡意軟件檢測和遏制方法。異常檢測。第一個研究應(yīng)用程序異常檢測是福里斯特等。他們多次執(zhí)行一個程序用不同的輸入來收集系統(tǒng)調(diào)用序列，然后使用這些形成基線行為的程序。任何重大偏離基線被認(rèn)為是一個異常。許多后續(xù)的研究包括機(jī)如隱馬爾可夫模型和神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)技術(shù)。后來的研究研究納入的系統(tǒng)調(diào)用參數(shù)，調(diào)用堆棧信息。生成通用模型從不同的運(yùn)行是一個比較復(fù)雜的問題。在Ballardie和crowroft探索幾種典型模型，包括基于頻率的數(shù)據(jù)挖掘模型的方法，和一個有限狀態(tài)機(jī)的方法。所有以上方法能承受高的假陽性率。他的數(shù)據(jù)收集

9、過程通常是手動或可能需要很長時間才能覆蓋大多數(shù)正常的行為。如果應(yīng)用程序的正常行為并不充分捕獲的，未被注意的正常行為是可能的錯誤歸類為不正常。雖然更好的機(jī)器學(xué)習(xí)算法，可以幫助解決一個很難獲得足夠的訓(xùn)練數(shù)據(jù)去捕捉到全面的應(yīng)用的行為而使這些計劃的實(shí)際根本的問題。我們的工作是建立在上述系統(tǒng)中的方法。主要的貢獻(xiàn)是要表明，如果廣大的用戶群體分享他們的培訓(xùn)與IDS的數(shù)據(jù)在細(xì)粒級，行為可以生成更完整的配置文件和準(zhǔn)確的本地配置文件。我們在社區(qū)環(huán)境延長審查技術(shù)的其中一個挑戰(zhàn)不只是投入問題，而且經(jīng)營軟件的環(huán)境可以是不同的。在我們的實(shí)驗(yàn)中，我們允許應(yīng)用程序被安裝在不同的硬件配置各種系統(tǒng)隨機(jī)目錄和不同工作負(fù)載施加的其他

10、應(yīng)用程序。我們結(jié)合配置文件來處理可能的變化擴(kuò)展現(xiàn)有的算法。以社區(qū)為基礎(chǔ)的系統(tǒng)?！皯?yīng)用社區(qū)”這個概念的提出了通過生成適當(dāng)?shù)呐渲醚a(bǔ)丁和過濾器對于協(xié)同診斷和應(yīng)對攻擊。系統(tǒng)目標(biāo)是生成一個會提供對基層社區(qū)適用情況來預(yù)測即將到來的攻擊意識。不過，這并不專注于在我們的工作中檢測異常來幫助防止攻擊。一個類似“協(xié)作學(xué)習(xí)為安全”的概念應(yīng)用于自動生成的一個問題軟件補(bǔ)丁而不影響應(yīng)用程序的功能。然而，探測器使用的是靜態(tài)的探測器沒有訓(xùn)練的方式，以及社區(qū)利用僅限于收集詳細(xì)的執(zhí)行限制在二進(jìn)制，分布生成的補(bǔ)丁，并讓用戶社區(qū)評估他們。像賽門鐵克，微軟和谷歌這些公司還利用基于用戶識別惡意軟件程序或垃圾郵件反饋意見為概念社區(qū)提供幫助

11、。治安維持會成員和清潔工試圖通過自動檢測利用控制互聯(lián)網(wǎng)蠕蟲。都允許一個用戶在社區(qū)分享他們的抗體，預(yù)防和制止未來互聯(lián)網(wǎng)蠕蟲的攻擊。在其他應(yīng)用程序上下文，社區(qū)的概念也會被探索。同行壓力利用通過假設(shè)大多數(shù)用戶在社區(qū)有正確的配置它來自動檢測和排除錯誤配置。伽馬系統(tǒng)提出了把監(jiān)控任務(wù)在社區(qū)用戶，使最小程度的程序分析和軟件進(jìn)化。同樣，合作社問題隔離利用社區(qū)去做基于由社區(qū)用戶反饋數(shù)據(jù)自動生成的“統(tǒng)計調(diào)試”。與上面的身體工作相比，我們在更細(xì)粒度級別的社區(qū)的工作檢查的有效性的概念應(yīng)用。而不是僅僅相結(jié)合進(jìn)位反饋或簽名的蠕蟲病毒，我們整合了運(yùn)行時的行為概況，包括整個社區(qū)的系統(tǒng)調(diào)用和相關(guān)參數(shù)，應(yīng)用異構(gòu)的用戶。這允許我們

12、增加額外的軟件應(yīng)用程序類的異常檢測?；诤灻姆啦《拒浖?。在這種方法中，用戶通常使用一個已知的攻擊特征數(shù)據(jù)庫，導(dǎo)致誤報的優(yōu)勢可以忽略不計。不幸的是，很難保持簽名覆蓋新的襲擊。一項由Oberheide 等公司的調(diào)查發(fā)現(xiàn)商業(yè)殺毒軟件在過去一年攻擊發(fā)生檢測率只在54.9%至86.6%不等的范圍內(nèi)。更重要的是，殺毒軟件對最近的惡意軟件樣本檢測率明顯較為貧窮。這意味著基于異常檢測仍然是不可或缺的?；谛袨榈娜肭謾z測系統(tǒng)(IDS)。這些系統(tǒng)在其運(yùn)行時依賴于預(yù)定義的規(guī)則來檢測異常行為。他們可以更好的檢測試圖逃避基于代碼簽名的零時差攻擊。但是，獲得正確的規(guī)則是很困難的，因此規(guī)則往往是相對粗粒度。例如，在默認(rèn)情

13、況下，McAfee病毒掃描企業(yè)8.5i版訪問保護(hù)規(guī)則塊出站端口25過濾惡意電子郵件程序。然而，為了獲得正常的電子郵件應(yīng)用程序，42個流行的電子郵件客戶端，如Outlook.exe和thunderbird.exe，可豁免。請注意這些應(yīng)用程序往往是那些刻錄軟件。3 方法 在本節(jié)中，我們首先提出高層次的樂團(tuán)中所使用的方法，然后解釋詳細(xì)在§3.1 到§3.3中.整體的目標(biāo)是檢測應(yīng)用程序行為，尤其是零時差攻擊造成的。作為起始點(diǎn)我們的方法，我們?yōu)槊總€應(yīng)用程序?qū)嵗梢粋€本地配置文件。配置文件是一個目標(biāo)應(yīng)用程序的總結(jié)單獨(dú)進(jìn)程間通信其行為，可能導(dǎo)致在（變化，生存在重新啟動后）的文件系統(tǒng)，注

14、冊表，網(wǎng)絡(luò)和其他系統(tǒng)設(shè)置持續(xù)變化。他們是從系統(tǒng)調(diào)用的痕跡中抽象出來的。據(jù)統(tǒng)計，它可以被看作是在樣本空間包含目標(biāo)應(yīng)用程序的行為的所有可能的狀態(tài)變化的代表數(shù)據(jù)點(diǎn)。我們的想法是，大量的社區(qū)用戶本地配置文件應(yīng)用程序的定期聚集成一個作為基線來描述應(yīng)用程序正常行為的全球的資料的中央服務(wù)器。全球剖面作為分類器把收集到的本地配置文件作為訓(xùn)練數(shù)據(jù)來識別異常。我們隨著全球概要不斷地監(jiān)控應(yīng)用程序的行為檢測和防止入侵。應(yīng)用程序?qū)⒁獔?zhí)行不符合全球概要的操作時報警就會觸發(fā)?？梢蕴嵝延脩艋蚺渲孟到y(tǒng)來直接阻止操作。接下來我們探討我們的方法面臨的幾個重要挑戰(zhàn)。3.1 配置生成本地配置文件。本地配置文件是來自原始系統(tǒng)的調(diào)用跟蹤。

15、在Windows中，系統(tǒng)調(diào)用是非法，因此我們使用Windows API調(diào)用在我們的原型。為簡單起見，我們忽略一組API不修改主機(jī)文件系統(tǒng)或網(wǎng)絡(luò)狀態(tài)，如圖形和用戶接口API，它不太可能濫用或者甚至認(rèn)為在濫用我們監(jiān)控的其他API中是可見的。與此同時，我們只專注于業(yè)務(wù)目標(biāo)應(yīng)用程序?yàn)樘囟ǖ膽?yīng)用程序給定的執(zhí)行概要文件，除了流程依賴關(guān)系，如下面所討論的。全局配置文件。全球的資料是從多個本地配置文件提取精煉出來的。我們?yōu)閍pi在功能方面(過程依賴、文件訪問，網(wǎng)絡(luò)訪問等)開發(fā)了一個分類法。對于每個類別，對應(yīng)的記錄在本地配置文件聚合的關(guān)鍵屬性(表1)。一個例子的聚合文件訪問類別顯示在表2。它是通過相關(guān)的多個AP

16、I調(diào)用合成。直接依賴，比如一個叉依賴，沒有發(fā)生一個中介。它可以從一個單一的API調(diào)用推斷出。3.2 環(huán)境多樣性的挑戰(zhàn)對于分類除了流程依賴關(guān)系外，表2中簡化方法有一定的局限性。例如，對于一個文字處理器，不同的用戶編輯不同的文件，然而如果天真地使用文件名作為關(guān)鍵屬性，檔案存取類別不可聚會的。同樣，一個P2P客戶端可能跟隨機(jī)IP地址，導(dǎo)致聚合在全局配置文件是一組用的很少的事件的IP地址。我們應(yīng)用兩種方法來解決這一挑戰(zhàn)。第一種，我們使用預(yù)定義的規(guī)則規(guī)范化路徑和文件名。例如，c:Documents and SettingsAlicea.dat is normalized to USER-DOCa.dat

17、.這也有助于保護(hù)社區(qū)用戶的隱私。第二種，我們的主要解決方案是堆棧簽名，它描述了堆棧調(diào)用每個API線程的歷史。該方法的核心是相同的功能的程序的“隨機(jī)事件”，如在Skype中發(fā)送消息或制作一個VoIP呼叫，應(yīng)該被關(guān)聯(lián)到一個固定可以調(diào)用堆棧的執(zhí)行路徑?；谶@樣的假設(shè)，我們介紹堆棧簽名，一個緊湊版本的調(diào)用堆棧。一個堆棧簽名是由所有當(dāng)前線程的迭代計算和他們的返回地址進(jìn)行異或運(yùn)算的堆棧幀。對于遞歸調(diào)用，多次發(fā)生返回地址被算為一次。在全球的資料文件，堆棧之間的關(guān)系和對象(如簽名、文件名和IP地址)，其特征是一個加權(quán)偶圖，其頂點(diǎn)分為兩個不相交的集X和Y，其中X是套堆棧簽名和Y是一組對象。有一條邊e：x ye

18、當(dāng)x X和yY，當(dāng)且僅當(dāng)一個事件訪問對象y有堆棧簽名x在至少一個當(dāng)?shù)氐男蜗?。每個元素在X，Y和E的權(quán)值，表明其在當(dāng)?shù)貦n案發(fā)生頻率的數(shù)量。除了流程依賴關(guān)系是相當(dāng)穩(wěn)定的，我們?yōu)樗衅渌悇e介紹堆棧簽名和使用由兩部分構(gòu)成的圖形作為其數(shù)據(jù)抽象。我們看到很多這樣的例子在我們的實(shí)驗(yàn)。例如，在堆棧x61ae46f8，QQ，一個即時消息應(yīng)用程序,從至少64個不同的服務(wù)器可以通過端口8000接收數(shù)據(jù)，如121.14 . *.*，219.133 . *.*，58.61 . *.*。所有服務(wù)器都發(fā)現(xiàn)在QQ總部所在地的中國廣東。接收的數(shù)據(jù)的大小一直是一個10240字節(jié)的倍數(shù)。3.3 異常檢測作為開頭提到的這部分，系綜

19、客戶定期把全球概要文件從服務(wù)器。異常檢測和預(yù)防的不斷進(jìn)行。每個操作之前執(zhí)行監(jiān)控系綜，API調(diào)用被攔截，并與全球概要文件使用以下比較算法。（1）基于閾值過程的依賴異常檢測如果一個過程依賴D檢測(如一個叉或文件依賴)，我們找到它的頻率f(D)=#本地配置文件包含D #本地配置文件。在全球的資料文件中，如果f(D)< thPD，thPD是一個閾值，那么D被視為異常。（2）堆棧特征分析如果操作執(zhí)行的目標(biāo)程序不屬于在表1其他類別，那么它的棧簽名的計算，其對象x是計算，y是識別，和e:xy是與在全局配置文件的偶圖BG = XG，YG 匹配的。讓e和x的頻率在BG分別為f(e)和f(x)。(即，f(e

20、)= #本地配置文件包含e #本地配置文件)。我們還將介紹閾值the，thx 和degx.。我們確定e是一個異常的行動由幾個測試尋找可預(yù)測的關(guān)系的對象訪問棧簽名。4 實(shí)現(xiàn)我們的系綜的架構(gòu)原型如圖4所示。它是通過使用不斷更新全球概要文件和生成的本地配置文件來設(shè)計執(zhí)行網(wǎng)絡(luò)異常檢測?，F(xiàn)有的工作主要是在Linux環(huán)境的評估，然而我們的系統(tǒng)是要在微軟Windows XP系統(tǒng)這一更常見的攻擊目標(biāo)上實(shí)現(xiàn)的。我們會使用約10000行C + +代碼來實(shí)現(xiàn)原型。在我們的設(shè)計中，為代表的當(dāng)?shù)馗艣r，我們最初試圖利用系統(tǒng)調(diào)用序列(n元語法之前建議，由于其聲稱有效性和簡單性。然而，我們發(fā)現(xiàn)，語法已經(jīng)驚人地低為Window

21、s API序列收斂速度方面獲得應(yīng)用程序的正常行為模式，很可能因?yàn)橐粋€比在Linux更大的樣本空間(Windows API的數(shù)量是Linux系統(tǒng)調(diào)用的6倍數(shù)量)實(shí)現(xiàn)系綜。我們估計有兩個原因造成這樣大的差異：其一，有明顯差異Unix / Linux系統(tǒng)調(diào)用和Windows api；其二，現(xiàn)代應(yīng)用程序變得越來越復(fù)雜。系統(tǒng)調(diào)用可能是太找到粒度表征程序行為。注意，很多研究人員對病毒或惡意軟件應(yīng)用n元算法，其二進(jìn)制大小遠(yuǎn)低于合法應(yīng)用程序。因此，我們采取了§3.1中描述基于頻率的有一個更快的收斂行為的簡單模型。4.1 生成配置文件和異常檢測我們使用迂回庫監(jiān)控和記錄106編程接口調(diào)用相關(guān)文件系統(tǒng)、注

22、冊表、文件映射、消息、線、過程、網(wǎng)絡(luò)、管、鉤、剪貼板、系統(tǒng)時間、DNS、處理管理和用戶帳戶管理，其中大部分是Windows特定的。我們所掌握的最好知識，他們覆蓋大多數(shù)可以導(dǎo)致進(jìn)程間通信的編程接口，或?qū)е鲁志梦募到y(tǒng)、注冊表、網(wǎng)絡(luò)和其他系統(tǒng)設(shè)置的變更。注意，新的編程接口加入框架是相當(dāng)容易的。我們在Windows調(diào)試庫中使用StackWalk64函數(shù)生成堆棧簽名?？紤]到原始API跟蹤及其堆棧簽名，生成在§3.1(對于流程依賴關(guān)系)和§3.2(對于其他類別)中所述的本地配置文件。我們實(shí)現(xiàn)了七類配置文件。(1)流程依賴關(guān)系型，(2)文件訪問型，(3)目錄索引型，(4)目錄訪問注冊表

23、訪問型，(5)網(wǎng)絡(luò)連接型，(6)DNS型，(7)IP前綴訪問型。我們處理4類型的直接過程依賴關(guān)系：發(fā)送信息，設(shè)置鉤，創(chuàng)建/終止/中止進(jìn)程(線程)和寫/讀/分配/ 釋放進(jìn)程內(nèi)存，以及8種間接依賴關(guān)系:文件、注冊表、文件映射、網(wǎng)絡(luò)、命名管道、匿名管道、系統(tǒng)時間和剪貼板。API是平凡地通過翻譯API參數(shù)轉(zhuǎn)換到其他類別(例如痕跡、文件訪問、網(wǎng)絡(luò)訪問)的。全球概要文件經(jīng)過對各種本地配置文件分組生成。除了由如表2(b)代表的流程依賴關(guān)系，其他類別使用由兩部分構(gòu)成的圖表(堆棧簽名對象名稱)作為代表。我們在§3.3描述的異常檢測算法是非常有效的。4.2 操作模型最后，我們提供了一個概述的系綜的操作模

24、型。在每個客戶端，總體運(yùn)行作為一個系統(tǒng)服務(wù)和目標(biāo)應(yīng)用程序是透明的。驗(yàn)證碼是用來防止機(jī)器人篡改系綜當(dāng)訂閱或取消訂閱服務(wù)的。當(dāng)應(yīng)用程序正在運(yùn)行，總體抽樣模塊定期記錄它的API調(diào)用堆棧簽名并生成與本地配置文件(如，每3個小時，利用API調(diào)用痕跡的一分鐘抽樣生成一個本地配置文件)。整體通信模塊定期提交本地配置文件到服務(wù)器，同時從中提取全球概要文件。系綜異常檢測模塊保持監(jiān)控目標(biāo)應(yīng)用程序的API調(diào)用并將他們與全球概要進(jìn)行匹配。如果警報被觸發(fā)，所請求的操作會被拒絕，否則決定權(quán)留給用戶自己。最初我們的異常檢測是抽樣的：當(dāng)?shù)匾粋€概要文件生成定期并與全球概要文件比較。然后我們發(fā)現(xiàn)，即使是不斷進(jìn)行異常檢測，額外的開

25、銷也是可以接受的(小于2%)，因?yàn)樵诖蠖鄶?shù)情況下，應(yīng)用程序的API調(diào)用不調(diào)用“叢發(fā)性”的方式。系綜服務(wù)可以大規(guī)模進(jìn)行維護(hù)(如通過應(yīng)用程序供應(yīng)商)，或小范圍的維護(hù)(如在企業(yè)網(wǎng)絡(luò))。其任務(wù)包括收集本地配置文件，生成全局配置文件和其他管理功能。理想情況下，每個版本的應(yīng)用程序應(yīng)該有自己的全球形象。對于特定的應(yīng)用程序，一個全局配置文件也可以描述幾個有輕微差異的版本。4.3 原型的限制我們目前的原型具有不是基本為我們的設(shè)計以下限制。在客戶端，采樣模塊是使用第三方庫在用戶級別實(shí)現(xiàn)。對于未來的工作，我們計劃將整個系統(tǒng)嵌入Windows內(nèi)核。在服務(wù)器端，為防止污染的全球配置文件，我們將調(diào)查建立在社區(qū)用戶之間的信

26、任之上的聲譽(yù)系統(tǒng)的使用。目前，我們設(shè)想我們的的系統(tǒng)，主要被部署在企業(yè)環(huán)境中，而在那里信任可以被假定。最新款Windows Vista的采用了地址空間負(fù)載隨機(jī)化的（ASLR）技術(shù)，這妨礙了棧的簽名功能。 我們可以通過使用從模塊的起始地址相對偏移的返回地址連同模塊簽名解決這個問題。5 評價和實(shí)驗(yàn)在本節(jié)中，我們系統(tǒng)地評估系綜。首先，我們描述一個小規(guī)模部署為一個社區(qū)的12個用戶(§5.1)?；谪?fù)面結(jié)果由于尺寸受限制的社區(qū)，我們介紹我們的試驗(yàn)臺和用于實(shí)驗(yàn)的目標(biāo)應(yīng)用程序(§5.2)，然后分析生成的本地配置文件(§5.3)和由此產(chǎn)生的全球配置文件(§5.4)。接下來

27、，我們測量假陽性(§5.5)最后我們提出我們的系統(tǒng)的性能評價(§5.6)。5.1 小型真正的部署我們部署的系綜在12個真實(shí)用戶中，使用Windows Live Messenger(MSN)為目標(biāo)應(yīng)用程序。所有用戶用不同的軟件和硬件配置在使用Win XP SP2。在實(shí)驗(yàn)前，我們手動升級他們的MSN到同一版本(版本號：2008Bulid 8.5.1302.1018)，并確保無病毒的系統(tǒng)。用戶不熟悉技術(shù)細(xì)節(jié)的系綜，并被告知需要像往常一樣使用MSN。對于每個用戶，在一個5小時的時間內(nèi)，我們收集了50個API調(diào)用的痕跡，每一次持續(xù)1分鐘。我們使用此數(shù)據(jù)集評估假陽性。我們曾經(jīng)在600條

28、痕跡中用5倍交叉驗(yàn)證評估假陽性。在每個追蹤測試組，如果任何API調(diào)用觸發(fā)一場虛驚，那么當(dāng)?shù)氐男蜗蟊凰阕饕粋€假陽性。當(dāng)參數(shù)為§3.3中值，實(shí)證性地設(shè)置the = 1%，thx = 1%，degx = 10，winSize = 4 kb(我們嘗試了不同的參數(shù)，例如< 2%，thx < 2%，degx < 20)，并得到了類似的結(jié)果。我們發(fā)現(xiàn)假陽性利率過高將難以被接受(大于30%的文件訪問和注冊表訪問)。原因是12個用戶并不足以形成一個社區(qū)，覆蓋不同應(yīng)用程序的行為。5.2 實(shí)驗(yàn)基礎(chǔ)設(shè)施未了測試在一個更大的社區(qū)中的影響，我們創(chuàng)建了一個自動化測試平臺來模擬一個社區(qū)環(huán)境。想法很

29、簡單：目標(biāo)應(yīng)用程序執(zhí)行多次在試驗(yàn)臺。在每次執(zhí)行時，當(dāng)?shù)氐囊粋€概要文件創(chuàng)建和美聯(lián)儲全球概要發(fā)生器，仿佛這是一個真實(shí)的社區(qū)提交的用戶。然后我們使用全局配置文件來對正常和異常行為進(jìn)行測試并評估假陽性和否定。我們的試驗(yàn)臺有兩個設(shè)計目標(biāo)。多樣化的用戶行為。隨機(jī)用戶行為是注射在每個試驗(yàn)中。分布的隨機(jī)性應(yīng)該大致符合一個真正的社區(qū)。多樣化的系統(tǒng)環(huán)境。在每個試驗(yàn)中，系統(tǒng)環(huán)境也應(yīng)該用不同硬件和軟件來模擬一個真實(shí)的社區(qū)變化。例如，一個VoIP客戶可能根據(jù)可用的網(wǎng)絡(luò)帶寬調(diào)整其語音編碼策略，導(dǎo)致產(chǎn)生不同的本地配置文件。我們手動創(chuàng)建一個有限狀態(tài)機(jī)(FSM)為每個目標(biāo)應(yīng)用程從一個終端用戶的角度序來描述它的大部分主要功能。有

30、限狀態(tài)機(jī)(FSM)可以產(chǎn)生在一個更加自動化的時尚結(jié)合用戶跟蹤和添加一些擾動包括額外的使用行為。盡管手動工作，有限狀態(tài)機(jī)(FSM)是基于理解應(yīng)用程序的使用的代表，甚至近似可以幫助對于一個給定的應(yīng)用程序產(chǎn)生更多樣化的使用場景。圖5是一個簡化的FSM的MSN。在每一個自動執(zhí)行中，試驗(yàn)臺基于馬爾可夫鏈模型進(jìn)行部分迭代FSM，它描述了流行的應(yīng)用程序的不同功能。每個狀態(tài)轉(zhuǎn)換SxSy在FSM代表一個用戶操作。權(quán)值e是給定當(dāng)前狀態(tài)是Sx，指示下一個狀態(tài)是Sy的概率。例如，在圖5中，“登錄”是用戶啟動應(yīng)用程序的初始狀態(tài)。用戶成功登錄(101 + 2 + 10 = 77%)的概率遠(yuǎn)高于用戶輸入一個無效ID或密碼(

31、8%)的概率。這個試驗(yàn)臺不僅隨機(jī)選擇了行動，同時也執(zhí)行了一些隨機(jī)性操作。例如，它可以在一個即時通訊的，選擇一個隨機(jī)的用戶，和他/她聊天通過隨機(jī)短信、情感圖標(biāo)，手寫字或Flash使眼色。在另一個例子，“電話行動”在Skype中從我們收集到的3000免費(fèi)電話號碼進(jìn)行撥一個號碼。圖5是一個簡化的有限狀態(tài)機(jī)的MSN。邊緣上的標(biāo)簽顯示狀態(tài)轉(zhuǎn)移概率。我們承認(rèn)我們的方法包含主觀元素和因此可能不完全模擬一個社區(qū)環(huán)境。然而，一個社區(qū)本身是一套主觀用戶，并傾向于隨時變化。同時，我們將在§5.3展示用戶的行為的重尾分布的模擬，這是通常情況下在一個真正的社區(qū)。應(yīng)對系統(tǒng)環(huán)境隨機(jī)性，試驗(yàn)臺為每個實(shí)驗(yàn)自動變化的硬

32、件/軟件配置。為便于管理，所有的實(shí)驗(yàn)是在虛擬機(jī)(VMware 6.0.2)進(jìn)行的。不同的配置包括內(nèi)存、處理器數(shù)量安裝軟件，現(xiàn)有的運(yùn)行過程、系統(tǒng)負(fù)載、防火墻設(shè)置，系統(tǒng)時間、網(wǎng)絡(luò)帶寬、DNS服務(wù)器等等。FSM的試驗(yàn)臺包括一個腳本解析器，一個行動執(zhí)行人，負(fù)責(zé)維護(hù)狀態(tài)同步和發(fā)送鼠標(biāo)/鍵盤輸入到目標(biāo)應(yīng)用程序，配置機(jī)械手，改變系統(tǒng)環(huán)境和傳播者，與系綜的內(nèi)核。這個試驗(yàn)臺是建立在使用約3000行C + +代碼的基礎(chǔ)上的。我們在微軟Windows XP SP2上選擇了四個應(yīng)用程序作為我們最初的目標(biāo)應(yīng)用程序：skype （39版）；Windows Live Messenger(MSN) （2008b

33、ulid8.5.1302.1018版）；Tecnet QQ(2007 Beta 4，7.0.374.204版)，一個在中國通常的超過3000萬在線用戶的ICQ客戶端；Serv-U（版），一個貿(mào)易FTP服務(wù)器。這些應(yīng)用程序被選中是因?yàn)樗麄冞^去的聲望和他們被瞄準(zhǔn)攻擊的歷史。5.3 本地配置文件表3顯示了本地配置文件的數(shù)量、取樣時間和API記錄的每個目標(biāo)應(yīng)用程序的本地配置文件的大小。采樣時間設(shè)置為符合高斯分布。抽樣過程無論是在應(yīng)用程序啟動或啟動之后一，又或是在應(yīng)用程序終止之前或已經(jīng)停止都可以開始。整個收集當(dāng)?shù)貦n案持續(xù)了一個星期。如前所述，我們在每個試驗(yàn)中模擬不同社區(qū)的用戶行為而創(chuàng)建了隨

34、機(jī)性。因此每個用戶可能探索的不同子集的應(yīng)用程序功能。圖6為Skype，MSN和QQ說明了FSM的分布模式。一個模式在一個試驗(yàn)定義了狀態(tài)迭代的測試平臺。如果有n可能狀態(tài)在有限狀態(tài)機(jī)(FSM)，然后有2 n1可能的模式(0，0，0，1)，(1，1，1，1)。對于模式(a1，a2，an)，ai = 1的狀態(tài)下，i-th 在一個試驗(yàn)中至少被訪問一次。從我們的試驗(yàn)臺產(chǎn)生圖6展示的重尾分布的用戶行為多樣性，以及大多數(shù)用戶的相似行為。雖然這可能不是完全匹配實(shí)際的用戶行為，但我們相信只要我們的方法添加足夠的隨機(jī)性就可以密切近似一般用戶活動。5.4 全球概要文件表4展示了統(tǒng)計的全球配置文件。表中的數(shù)字是數(shù)量的流

35、程依賴關(guān)系，對于其他類別，邊數(shù)在雙邊的圖表中。這個過程依賴類別的QQ，MSN和 Skype分別如圖9(a)、10和11(a)。只有部分與實(shí)線代表觀察到的依賴關(guān)系。邊緣上的百分比表示其發(fā)生的頻率。由兩部分構(gòu)成的圖形的大小通常是更大的。圖7顯示了由兩部分構(gòu)成的圖的例子。對于每個子圖，上部X是套堆棧簽名;下部Y是一組由一個號碼(對象ID)對象(注冊表鍵，目錄名稱等等)。在方括號的數(shù)字是頻率。子圖(a)是一種常見的情況下，固定棧簽名訪問一個固定物體。例如，堆棧簽名0 x7bf74721總是讀3個注冊表鍵值：REGISTRYMACHINESOFTWAREClassesQQCPHelper.REGISTR

36、YMACHINESOFTWAREClassesCLSID23752AA7.REGISTRYMACHINESOFTWAREClassesCLSID23752AA7.子圖(b)演示了一個隨機(jī)事件的問題。對于每個試驗(yàn)中，堆棧簽名1814742014(0 x6c2ac3fe)在REGISTRYMACHINESOFTWAREClassesCLSID 和REGISTRYMACHINESOFTWAREClassesTypeLib 下寫不同的注冊表鍵值。子圖(c)說明了如§3.3中堆棧簽名的輕微變動。我們子圖(c)可以觀察到兩個集群的堆棧簽名：4582218?，1819194?.兩個集群都訪問用戶c

37、ookie目錄USER-DOCcookies.圖7是一式兩份的圖的例子。從上到下：(a)注冊表寫QQ類(b)注冊表寫Skype類(c)目錄寫MSN類。5.5 假陽性我們在實(shí)際部署(§5.1)中使用相同的方法(5倍交叉驗(yàn)證)和參數(shù)評估試驗(yàn)臺的假陽性。在表5中，列“有限合伙人”表示本地配置文件在測試組的數(shù)量;列“最差”和“最佳”分別表明在10個獨(dú)立實(shí)驗(yàn)(每個實(shí)驗(yàn)有5個通行證)中最高和最低數(shù)量的假陽性(包含至少一個API調(diào)用觸發(fā)虛假報警痕跡)。表6提供了一個細(xì)粒度的假陽性測量。與上面類似，我們使用相同的參數(shù)重復(fù)了十次5倍交叉驗(yàn)證和實(shí)驗(yàn)。在表6中，列“Avg E”表示在測試組的API 調(diào)用平

38、均數(shù)量，送入系綜異常檢測模塊;列“最差”和“最佳”分別表示檢測出異常錯誤的API調(diào)用最高和最低數(shù)量。對于Skype和ServU，沒有假陽性被觀察到。對于MSN和QQ，盡管他們的細(xì)粒度的假陽性的注冊表讀取和連接類別小幅上漲，甚至當(dāng)假陽性率收斂(如圖8)，但誤檢測主要集中在本地配置文件(通過人工觀察發(fā)現(xiàn)，在這些地方生成配置文件期間，應(yīng)用程序意外終止是非常可能的)的幾個API調(diào)用。理想情況下，如果他們確實(shí)是應(yīng)用程序的自然行為，然后隨著池的訓(xùn)練數(shù)據(jù)規(guī)模越來越大，最初的“奇怪”的行為將變得正常，大尺寸的訓(xùn)練數(shù)據(jù)實(shí)際上是一個社區(qū)的優(yōu)勢。當(dāng)我們測試Skype，這是產(chǎn)生網(wǎng)絡(luò)相關(guān)行為假陽性利率(在表5和表6中兩

39、個類別的假陽性標(biāo)記為“N / A”)。在手動檢查時，我們發(fā)現(xiàn)，從相關(guān)的api的網(wǎng)絡(luò)堆棧簽名幾乎均勻分布在整個地址空間，準(zhǔn)確的說，“Avg E”是在偶圖中過程依賴的邊緣頻率或數(shù)量。根據(jù)我們的估計，Skype可能采用一些模糊技術(shù)來針對逆向工程保護(hù)他們的代碼。總之，我們相信，假陽性的系綜是可以接受的。此外，我們使用在實(shí)際部署中的600 條API的調(diào)用痕跡對由試驗(yàn)臺MSN生成的1298條本地文件生成獲得的全球概要文件進(jìn)行測試。我們得到了0%假陽性的比率(過程依賴)，6%(文件讀取)，4%(文件寫)，2%(目錄讀取)，1%(目錄寫)，11%(注冊表讀取)，6%(注冊表寫)，9%(連接)和3%(IP前綴)

40、，表5中使用的就是這些值。在手動檢查時，假陽性的主要原因是我們的FSM模型不完備，其中一些例如視頻聊天的軟件都沒有包括進(jìn)去。我們也使用5倍交叉驗(yàn)證測量了社區(qū)關(guān)系大小和假陽性率的關(guān)系，并給出了使用最壞的情況下的結(jié)果(在10個獨(dú)立實(shí)驗(yàn)數(shù)量最多的假陽性)。如圖8所示的三個應(yīng)用程序，從中可以明確的是，細(xì)粒度的假陽性率顯著增大，而且隨著越來越多的本地配置文件，并收斂于一個穩(wěn)定值(在本節(jié)前面我們討論了高誤報率的QQ和MSN)。一個真正的活躍的社區(qū)被認(rèn)為是由網(wǎng)友上傳的具有更大數(shù)量級的本地配置文件，從而確保有較低的假陽性率。5.6 績效評估每個應(yīng)用程序都有一組“正常行為”(真正的基線)。當(dāng)探測器定義的正常行為

41、超越真實(shí)的基線(即過于寬泛)假陰性就可能發(fā)生，因?yàn)樘匦曰蚍椒ú贿m當(dāng)或者說模型并不足夠精確(即一個不完美的探測器)。幾乎所有實(shí)際的id，檢測或定義的正常行為是比真正的基線更廣泛的，因此允許模仿攻擊。這不只是我們探測器的問題，任何探測器都有。聚合過程不應(yīng)該引入過多額外的通病。當(dāng)?shù)氐母乓募木酆隙鄻有杂幸韵略颍?i)用戶隨機(jī)性。不同的用戶可以生成不同的配置文件，但他們大多屬于真正的基線假設(shè)概要文件是可信的（用戶隨機(jī)性可以視為在應(yīng)用程序中使用不同的正常執(zhí)行路徑)。(ii)系統(tǒng)環(huán)境的隨機(jī)性。我們承認(rèn)不同的系統(tǒng)環(huán)境可能有不同的組“正常行為”。然而，如果有的話，應(yīng)該引入有限的通病。在最壞的情況下，我們可

42、以如§4.2中的不同操作系統(tǒng)和軟件版本分配單獨(dú)聚合/池。6 系綜的局限性我們發(fā)現(xiàn)系綜是解決使用運(yùn)行時配置文件檢測代碼入侵和其他運(yùn)行時異常的一種很有前途的方法，并且還能指出在未來需要解決的局限性。我們還發(fā)現(xiàn),一些太復(fù)雜的應(yīng)用程序會局限于使用有限的系統(tǒng)調(diào)用抽樣。我們的實(shí)驗(yàn)表明復(fù)雜的插件啟用的應(yīng)用程序會和原來的不一致，如IE插件可能以微軟Word來表現(xiàn)。額外的取樣和更大的社區(qū)可以幫助幫助改變這種情況。我們要在一個真正的社區(qū)對數(shù)以百計的用戶做整體評價。隱私問題必須解決,即便系統(tǒng)只對調(diào)用匯總數(shù)據(jù)與服務(wù)器交換。如果一個顯著部分社區(qū)的用戶安裝一個協(xié)調(diào)攻擊污染全球概要,可想而知,全球配置文件會被破壞

43、。在開放社區(qū),污染攻擊是可能的。在封閉的社區(qū),在企業(yè)環(huán)境中,這樣的攻擊是不太可能。不同的應(yīng)用程序可能需要不同類型的分析。例如,如果一個應(yīng)用程序在功能或故意隨機(jī)地址指令級別(例如，§5.5中網(wǎng)絡(luò)接入模塊中提到的Skype會混淆這種行為),那么堆棧簽名是無效的。可以添加替代方法,如路徑分析，來處理這樣的應(yīng)用程序。在我們的設(shè)計中,堆棧生成簽名的獨(dú)特的返回地址棧幀。碰撞的概率在32位操作系統(tǒng)是不容忽視的,但在64位的系統(tǒng)中卻變得越來越流行。6.1 通病每個應(yīng)用程序都有一組“正常行為”(真正的基線)。當(dāng)探測器定義正常行為超越真實(shí)的基線過多(即,過于寬泛)；因?yàn)樘匦曰蚍椒ú贿m當(dāng)?shù)幕虿⒉蛔銐蚓_的

44、模型(即,一個不完美的探測器)，假陰性可能發(fā)生。然而，幾乎所有檢測或定義的正常行為是比真正的基線更廣泛的,從而允許模仿攻擊。不只是我們存在在聚合過程引入過多的附加的通病，任何探測器都存在這樣的問題。考慮當(dāng)?shù)氐母乓募木酆隙鄻有缘脑蛴?(i)用戶隨機(jī)性。不同的用戶可以生成不同的配置文件,但他們大多屬于真正的基線假設(shè)概要文件是可信的(用戶隨機(jī)性可以視為有不同的正常執(zhí)行路徑)。（ii)系統(tǒng)環(huán)境的隨機(jī)性。我們承認(rèn)不同的系統(tǒng)環(huán)境可能有不同的組“正常行為”。然而,這是在任何情況下都應(yīng)該被限制的通病。在最壞的情況下,我們可以有單獨(dú)的、如§4.2上的不同操作系統(tǒng)和軟件版本的聚合池。6.2 模仿攻

45、擊一個完美的探測器不應(yīng)該因?yàn)橐云湃o模仿攻擊留下任何機(jī)會。注意，聚合過程是用于異常檢測的獨(dú)立的特性或方法。模仿攻擊的存在主要是由于受特征選擇和檢測技術(shù)的限制，而不是在于剖面聚合。我們的重點(diǎn)是要指出，我們?nèi)绾文軌蛴靡粋€合理的探測器減少假陽性而不是使功能豐富達(dá)到足以排除的模擬攻擊可能性的地步。7 結(jié)論我們已經(jīng)描述了系綜，一個依靠用戶社區(qū)在流行應(yīng)用程序上檢測或阻止異常的無監(jiān)督異常檢測和預(yù)防系統(tǒng)的設(shè)計。當(dāng)?shù)匦袨楦乓募M合成一個全球配置文件，可以用來檢測或防止代碼注入或行為修改。系綜的主機(jī)只需要在運(yùn)行時定期總結(jié)貢獻(xiàn)的配置文件數(shù)據(jù)(大約0.5 MB)。系綜闡述了從可能有不同操作環(huán)境的主機(jī)合并配置文件

46、的問題?；趯λ膫€候選應(yīng)用程序的57次測試的評估，我們發(fā)現(xiàn)全球配置文件的質(zhì)量和由此產(chǎn)生的假陽性率，會隨著社區(qū)大小增長到約300用戶而極大地提高了，這些正好證明，使用社區(qū)來自動生成行為概要文件而不需要手工操作是一個可行的方法，以及由此產(chǎn)生的行為概要文件對實(shí)時異常檢測和預(yù)防是有效的。Ensemble：Community-Based Anomaly Detection for Popular ApplicationsAbstract: A major challenge in securing end-user systems is the risk of popular applications

47、being hijacked at run-time. Traditional measures do not prevent such threats because the code itself is unmodified and local anomaly detectors are difficult to tune for correct thresholds due to insufficient training data. Given that the target of attackers are often popular applications for communi

48、cation and social networking, we propose Ensemble, a novel, automated approach based on a trusted community of users contributing system-call level local behavioral profiles of their applications to a global profile merging engine. The trust can be assumed in cases such as enterprise environments an

49、d can be further policed by reputation systems, e.g., by exploiting trust relationships inherently associated with social networks. The generated global profile can be used by all community users for local anomaly detection or prevention. Evaluation results based on a malware pool of 57 exploits dem

50、onstrate that Ensemble is an effective defense technique for communities of about 300 or more users as in enterprise environments.1 IntroductionEnd-user systems can be difficult to secure for a variety of reasons. They are typically unmanaged: users download software, browser bugs, etc. In this pape

51、r, we focus on defending against a class of attacks in which popular applications are hijacked at run-time. In the past, this has led to wide-spread attacks such as the Skype worm spread using Skype and buffer overflows in Outlook email clients to execute arbitrary code . Traditional measures, such

52、as anti-virus scanners 5, do not prevent such threats because the application code itself is unmodified. Prior work indicates that system-call level profiling 23,33,37 may help detect such attacks early but a significant barrier is a lack of sufficient training data to ensure low false positive rate

53、s.In this paper, we present Ensemble, a novel unsupervised anomaly detection approach based on the idea of a trusted community of users contributing system-call level local profiles of an application to a common merging engine. The merging engine generates a global profile that captures the possible

54、 space of normal run-time behaviors of an application. The global profile can be used to detect or prevent anomalies in application behavior at each end-host in real time. The promise of this approach is that it helps overcome the problem of a lack of sufficient training data at each host and can be

55、 largely automated. The challenges are making such a system efficient, overcoming the differences in profiles due to factors such as variations in installation directories or hardware, and identifying the appropriate information to collect in profiles.The underlying hypothesis of Ensemble is that, a

56、s the number of local profiles increases,the aggregate global profile tends to converge, thus revealing the normal behavior of the target application. Most applications in our experiments were found to satisfy this property, though we also identified types of applications that would be exceptions. T

57、his paper makes the following contributions.Handling diversity in execution environments. Various factors impact community based profiling, e.g., the same application at different hosts may be installed in different directories, run with different amount of memory, and use different number of CPUs.

58、All these can cause variations in the system call traces with their parameters. We determined the types of data to use for generating behavioral profiles to handle these variations, while keeping profiles compact and representative of the application.Analysis of the relationship between the communit

59、y size and false positive rates. We first applied community-based anomaly detection to a community of 12 users using a normal, clean instant messaging application. The detailed system-call level data were sampled for 50 minutes during 5 hours with each local profile generated based on one minute of sampled data. We found that high false positive rates to be of