基于系统调用的Linux入侵检测方法

摘要

该文提出了在保证原有系统正常运行的基础上,在系统内核实现系统调用的获取,并利用美国新墨西哥大学Forrest教授等提出的用系统调用短序列表征程序行为的方法,实现系统入侵检测的技术.该技术可以有效监控特权进程.论文的组织结构如下:首先,从介绍入侵检测系统的历史出发,探讨了入侵检测系统的三个主要组成部分(数据搜集、数据分析和响应).然后,在对三个主要组成部分详细叙述之后讨论了当前检测系统的发展现状,介绍了当前用于入侵检测系统的关键技术,并指出当前Linux操作系统的审计机制中存在的一些主要问题.最后,在以上分析基础之上,提出基于系统调用的入侵检测方法,并实现了一个基于系统调用短序列的,监控特权进程运行状况的Linux内核级入侵检测系统.

目录

文摘

英文文摘

第一章绪论

1.1信息安全概述

1.1.1信息安全的重要性

1.1.2威胁信息安全的因素

1.1.3保障信息安全的手段

1.2本文的工作

第二章入侵检测系统介绍

2.1入侵检测系统的概述

2.1.1定义

2.1.2入侵检测系统的分类

2.1.3入侵检测系统对于信息安全的作用

2.2入侵检测系统历史回顾

2.2.1入侵检测系统的开创

2.2.2 20世纪80年的入侵检测研究热潮

2.3通用入侵检测系统模型

2.4各种入侵检测技术

2.4.1误用检测和异常检测

2.4.2不同的数据源

2.4.3数据源相关问题

2.4.4不同的分析方法

2.4.5不同的响应方式

2.4.6当前Linux操作系统审计机制的缺陷

2.5基于系统调用短序列的LINUX入侵检测系统的设计思想

2.5.1选择Linux操作系统的原因

2.5.2选择系统调用短序列的原因

2.5.3选择记录可能入侵的响应方式的原因

2.6小结

第三章系统所用关键技术

3.1系统调用短序列分析方法介绍

3.1.1简介

3.1.2 系统调用简介

3.1.3关注特权进程

3.1.4 建立正常行为的配置文件

3.1.5 度量异常行为

3.1.6系统调用短序列分析方法小结

3.2 LKM技术

3.2.1引言

3.2.2 LKM技术的主要用途

3.2.3 LKM程序

3.2.4编写LKM程序注意的问题

3.2.5 LKM程序的缺点

3.2.6 LKM技术总结

3.3实验结果

3.3.1实验概述

3.3.2 建立正常数据库

3.3.3不同程序之间的区别

3.3.4 异常行为

3.4小结

第四章系统的设计和实现

4.1系统概貌

4.2数据收集引擎

4.2.1数据收集引擎简介

4.2.2系统调用序列的日志格式

4.2.3数据收集引擎的程序设计

4.2.4数据收集引擎实现时遇到的问题

4.2.5数据的检索

4.2.6可代替的数据收集引擎——strace程序

4.2.7所收集数据的安全保护

4.3数据分析引擎

4.3.1数据分析引擎概述

4.3.2数据分析引擎的设计

4.3.3数据分析引擎的程序设计

4.4 响应模块

第五章问题和展望

5.1本文所实现系统存在的问题

5.1.1系统调用日志

5.1.2人的工作

5.1.3实时性有待改进

5.2入侵检测系统的展望

参考文献

致谢

科研成果和荣誉