一种基于系统调用参数的入侵检测方法的研究

摘要

入侵检测是一种积极主动的安全防护技术，它可以监视主机系统或是网络上的用户活动，发现可能存在的入侵行为。基于系统调用序列的入侵检测方法是当前入侵检测技术中的重要技术。基于系统调用序列的检测技术使用系统调用序列来描述应用程序的正常行为，只是考虑了序列之间的时序关系，因此一些攻击通过在系统调用参数中注入代码的方式来绕过检测，从而影响了系统检测的准确性和效率。
　　首先，本文在对基于系统调用序列的异常检测技术深入分析的基础上，提取系统调用的参数，根据系统调用参数不同的特性建立了系统调用参数的字符串长度模式、参数的字符分布模式和参数的字符串结构推断模式，用来检测参数中的过长字符串、字符串中出现高频字符和非法访问文件等一些潜在的攻击行为。
　　其次，针对目前入侵检测技术对程序行为提取方法所存在的不足，本文采用修改中断向量表的方法截获系统调用，实现系统调用参数提取。并在此基础上，利用LKM技术使用户实时提取系统调用的行为信息，通过加载检测模块实现对用户行为监控，弥补了传统采取离线方式分析用户行为方法的不足。
　　最后，在上述研究的基础上给出系统仿真分析方法，验证了基于系统调用参数的入侵检测方法对检测伪装攻击的有效性，和改进的模式输出整合分类方法的低误报率。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1.1 研究背景和意义

1.2 研究现状

1.3 论文的研究内容

1.4 论文的组织结构

第2章 入侵检测相关技术

2.1 入侵检测概念

2.2 入侵检测系统的基本模型

2.3 入侵检测关键技术

2.4 截获系统调用的相关知识

2.5 本章小结

第3章 基于系统调用参数的入侵检测方法研究

3.1 基于系统调用序列的入侵检测技术

3.2 基于系统调用序列的入侵检测方法的不足

3.3 基于系统调用参数的入侵检测方法

3.4 系统调用参数异常的判断

3.5 对参数异常的响应

3.6 本章小结

第4章 程序行为提取模块的研究与实现

4.1 LKM技术

4.2 传统系统调用截获技术

4.3 各系统调用截获技术的优缺点

4.4 用中断向量表修改法截获系统调用

4.5 本章小结

第5章 实验与分析

5.1 实验环境设置

5.2 实验结果与分析

5.3 本章小结

结论

参考文献

攻读硕士学位期间承担的科研任务与主要成果

致谢

作者简介