题目：基于遗传算法的系统调用异常检测模型研究

论文研究以国家自然基金资助项目“网络伪装协同安全模型研究”（编号：60503008）为背景。
入侵检测系统（IDS）是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起，通过分析被检测系统的审计数据或直接从网络捕获数据，发现违背安全策略或危及系统安全的行为和活动。在入侵检测领域中，异常检测是一个重要分支。这种检测方法的特点是首先总结正常操作应该具有的特性，例如，特定用户的操作习惯与某些操作的频率等。在得到正常操作的模式库后，对以后的操作进行监视，一旦发现偏离正常模式库，则认为发生了入侵。由于异常检测能检测到未知的攻击行为，所以，对基于异常的入侵检测的研究就十分重要，现已成为安全专家关注的重点。
但是传统的异常检测方法（如：统计学方法、基于规则的方法等）适应性差，如果用户行为发生变化(如用户的加入和删除以及更新软件、运行新的程序和改变工作习惯等)，那么系统很可能将突变的合法行为视为异常并报警，增加了系统的误报率。由于用户所要执行的关键操作都必须通过系统调用从用户态转换到内核态，通过查看系统调用序列就可以基本了解用户的活动，所以系统调用是异常检测系统的一种非常有效的输入，我们通过对系统调用的序列进行描述，就可以进行异常检测。因此基于主机系统调用的异常检测技术在基于主机的异常检测中是相当重要的一个部分，是目前比较有效的检测方式。
目前基于系统调用异常检测的技术中存在很多缺陷，尤其是针对未知入侵行为方面的检测，检测率低，误报率、漏报率高，检测速度慢。本文针对这些问题将具有自学习、自适应、自组织能力的遗传算法应用到了入侵检测系统中，由于遗传算法本身的这些特性，使得被遗传算法学习过的特征模式更能表现出应用程序的行为，同时特征模式库的规模大大减小，提高了检测速度和检测率，降低了误报率和漏报率。
基于遗传算法的系统调用异常检测方法，是用遗传算法对系统调用短序列进行学习，用单模式不完全匹配方法对测试数据进行检测。主要研究内容有：将遗传算法应用到异常检测模型中进行学习；遗传算子和遗传参数的采用以及检测算法的选择；基于遗传算法的系统调用异常检测原型系统的实现；将遗传算法的检测结果与其他算法进行比较。
实验结果表明将遗传算法作为IDS的学习算法达到了较好的检测效果，实现了遗传算法与入侵检测技术的有机结合。当然，将遗传算法等具有智能性的学科应用到入侵检测系统中，使其具有智能性，这些还处于研究阶段，入侵检测系统还有更多的方面需要人们去做更多的努力。