基于应用程序合法作用域的入侵检测技术的研究与实现

摘要

随着网络技术的发展和应用范围的扩大，人们越来越依赖于网络进行信息的处理。但是由于网络攻击工具和攻击手段的日趋复杂化和多样化，仅仅依靠传统的网络安全防范措施已无法满足对网络安全的要求。面对数量庞大、变化多样的各种网络攻击，要建立高效而灵活的安全防范措施是一项艰巨而富有挑战性的任务。
　　 入侵检测技术是近年来发展迅速的一种新型的网络安全技术。目前基于主机的入侵检测技术--无论是针对已知的攻击特征还是针对系统异常--都将注意力放在对于攻击过程的研究和挖掘上。虽然通过对恶意攻击过程中所表现的模式特征进行研究和分析可以在一定程度上防止某些攻击对系统造成危害，但是在对某个操作是否为恶意攻击的判断上却比较容易出错，从而产生大量的错误报警。
　　 本文从信息安全技术这一角度入手，介绍了目前入侵检测系统的种类及概念，然后介绍了目前入侵检测系统采用的安全技术，最后，通过分析应用程序在执行时的系统调用序列，针对目前大多数基于异常的入侵检测系统容易发出错误警报的普遍问题，深入分析了现行系统发出误判的根本原因，并依据用户操作和恶意攻击之间的本质区别提出了一种新的入侵检测技术。通过降低错误报警率、提高检测攻击的准确度，可以使管理员将更多的精力放在恶意攻击上而不会被错误报警所困扰，大大提高了系统管理员的工作效率。
　　 由于进程执行的所有关键操作都必须通过系统调用从用户态转换到内核态来完成，因此可以通过记录系统调用序列来获得进程的活动。当检测到异常的系统调用时，可以终止该进程的运行，这样可以防止恶意攻击对系统的入侵。由于系统调用的精确性，入侵者很难修改系统调用以掩饰攻击。合法作用域的建立以程序的系统调用信息为依据，并采用了有限状态自动机对其进行建模。每一个合法作用域由一个状态来表示，它包含程序运行时的有效用户标示和有效组标示，据此检测系统的异常行为。实验结果表明该方法可以检测到利用应用程序代码漏洞而发起的攻击，并且有较低的错误警报率。

目录

文摘

英文文摘

1 绪论

1.1 课题背景

1.2 课题现状及存在的问题

1.3 课题意义

1.4 本文工作

1.5 章节安排

2 入侵检测技术

2.1 入侵检测概述

2.2 入侵检测系统分类

2.2.1 基于网络的入侵检测

2.2.2 基于主机的入侵检测

2.3 入侵检测技术分类

2.3.1 基于异常的入侵检测

2.3.2 基于特征的入侵检测

2.4 入侵检测方法和模型

2.4.1 基于数据挖掘的异常检测

2.4.2 基于统计的异常检测

2.4.3 基于机器学习的异常检测

2.5 基于系统调用的入侵检测方法

2.5.1 系统调用的作用

2.5.2 系统调用在入侵检测中的应用

2.6 本章小结

3 应用程序的合法作用域的设计

3.1 应用程序合法作用域设计

3.2 应用程序合法作用域建模

3.2.1 状态迁移

3.2.2 状态迁移条件

3.2.3 提取特征序列

3.2.4 确定可测性参数

3.3 建立有限状态自动机

3.4 本章小结

4 入侵检测系统的实现

4.1 系统设计

4.2 系统实现

4.2.1 日志获取模块

4.2.2 日志解析模块

4.2.3 训练模块

4.2.4 检测模块

4.2.5 合法作用域模型

4.2.6 会话进程管理模块

4.3 本章小结

5 训练与检测结果

5.1 入侵检测评估数据

5.2 训练

5.3 检测

5.4 实验结果分析

6 总结与展望

6.1 总结

6.2 展望

参考文献

致谢