基于系统调用和上下文的异常检测技术研究

摘要

随着计算机和网络技术的发展，信息安全成为愈加重要的一个研究领域。传统的信息安全技术包括防火墙和入侵检测等，防火墙技术能够隔离非法访问，但一旦被攻破即失效，而入侵检测系统(IDS)被认为是防火墙之后的第二道安全闸门，它通过对数据源的审计判断系统是否遭到入侵，从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵检测所利用的技术种类繁多，其中重要的一种是系统调用相关技术。但无论是基于系统调用序列还是其它参数特征的入侵检测系统，都有其缺陷。诸如无法检测不改变调用顺序的攻击，或特征选择未优化导致的高系统开销和低检测能力等。 本文在前人研究的基础上，提出了一种基于系统调用参数和进程上下文信息的入侵检测模型。首先通过研究系统调用和入侵的关系，精选了关键系统调用及其关键参数，又通过对调用发生时的进程上下文的研究，选取了能够标志进程不同阶段又与安全相关的上下文信息。接着通过数学方法分析了模型中调用参数和上下文的关联性是紧密的，即此模型理论上是可行的。 本文最后通过实验证明了此模型不但能发现不改变调用序列而仅改变调用参数的攻击，同时特征的选取也简练有效，提高了入侵检测系统的性能，从而获得了良好的检测效果，弥补了相关入侵检测技术的不足。

目录

文摘

英文文摘

声明

第1章绪论

1.1论文研究的背景和意义

1.2国内外研究现状

1.3论文研究的内容

1.4论文结构安排

第2章 相关入侵检测系统研究

2.1入侵检测系统概述

2.2异常检测的关键技术

2.2.1统计类异常检测技术

2.2.2机器学习类的异常检测技术

2.2.3数据挖掘类的异常检测技术

2.3入侵检测系统的原理与结构

2.3.1通用原理与结构

2.3.2异常检测系统的构成

2.4入侵检测系统的问题与发展方向

2.5本章小结

第3章 系统调用和上下文研究

3.1 Linux系统调用研究

3.1.1系统调用介绍

3.1.2 Linux的系统调用

3.1.3系统调用、API、系统命令和内核函数的关系

3.1.4系统调用的实现过程

3.1.5系统调用和入侵行为之间的关系

3.2基于系统调用序列的异常检测方法

3.2.1模型概述

3.2.2不改变调用序列的入侵手段

3.3基于系统调用参数的异常检测方法

3.4进程上下文研究

3.4.1进程描述符研究

3.4.2上下文定义与特性

3.5本章小结

第4章 基于系统调用参数和上下文的检测模型

4.1系统调用和参数的选取

4.2系统调用参数和上下文的关联性分析

4.2.1关联性理论研究

4.2.2一个实例

4.2.3本文模型的关联性

4.3模型设计

4.3.1模型的组成部分

4.3.2模型的运行阶段

4.4本章小结

第5章 仿真实验

5.1实验环境

5.2模型实现及实验过程

5.2.1内核定制

5.2.2训练阶段

5.2.3检测阶段

5.3实验结果及分析

5.4本章小结

结论

参考文献

致谢