计算机免疫系统中异常识别的设计与实现

摘要

计算机安全问题一直是计算机领域所探讨的热门话题，各种新技术新产品也层出不穷，但实际应用效果还远不能达到要求，然而计算机安全问题在大力加强信息化社会的建设过程中却越显突出和复杂。近年来一种将生物免疫机理应用到计算机安全领域的技术，即计算机免疫系统的出现又为这一问题的解决提供了崭新的途径。 模仿生物免疫机理我们设计了计算机系统安全模型GECISM，该模型由多个代理构成，各代理模仿不同免疫细胞的功能和机制，通过相互协作来保障主机的安全。本文主要阐述了对GESCIM中类MCAgent代理的构造研究，所依靠的操作系统环境是Linux。类MCAgent是GESCIM与外部环境的接口，主要负责对异常的检测，检测的依据是程序运行时所产生的系统调用序列。采集器、规则库和检测器是类MCAgent的主要组成部分。类MCAgent采集器在Linux的内核级实现，文章中详细描述了类MCAgent对系统调用采集和将系统调用序列划分成短序列的方法，并对系统调用序列模式做出分析。本文给出了在系统调用短序列集上应用数据挖掘技术生成规则的方法，并详细介绍了分别应用C4.5算法和CART算法生成规则的过程和实验结果。类MCAgent规则库中的规则是一组IF…THEN…语句集，通过规则可以判断某个系统调用短序列是否正常。文章还详细说明了类MCAgent的检测器使用生成规则对异常进程的检测方法，并给出了实验结果和分析。

目录

文摘

英文文摘

河北大学学位论文原创性声明和使用授权声明

第1章绪论

1.1选题的背景和意义

1.2国内外研究现状

1.3本文主要研究内容

1.4论文结构

第2章计算机免疫系统

2.1计算机安全

2.2入侵检测系统(IDS)

2.2.1误用检测(Misuse detection)

2.2.2异常检测(Anomaly detection)

2.2.3基于网络的入侵检测(Network-based intrusion detection)

2.2.4基于主机的入侵检测(Host-based intrusion detection)

2.3生物免疫系统简介

2.4计算机免疫系统

2.5计算机免疫系统的组织原则

2.6小结

第3章类MC Agent的结构与功能

3.1GECISM的总体结构

3.1.1GECISM各代理的功能

3.1.2GECISM的形式定义

3.2类MC Agent

3.2.1类MC Agent的总体结构

3.2.2类MC Agent主要部件的功能

3.3小结

第4章系统调用短序列的采集

4.1系统调用的作用

4.2系统调用在入侵检测系统中的应用

4.3系统调用采集的方法

4.3.1系统调用总入口

4.3.2实现系统调用采集的步骤

4.4小结

第5章检测规则的生成

5.1数据挖掘技术在计算机安全领域的应用

5.2训练样本集合库的生成

5.3对系统调用短序列的分析

5.4检测规则的生成方法

5.5基于不同算法的检测规则生成方法的比较

5.5.1基于C4.5算法生成规则的实验结果

5.5.2基于CART算法生成规则的实验结果

5.6小结

第6章类MC Agent对异常的检测

6.1常用检测方法

6.2类MC Agent的检测算法

6.3类MC Agent实时检测实验结果及分析

6.4小结

第7章结束语

参考文献

攻读硕士学位期间科研工作情况

致谢