应用系统调用序列技术的实时自适应入侵检测系统的研究

摘要

入侵检测是计算机安全领域的一项重要技术,它通过审计计算机网络和计算机系统的行为信息来进行安全检测.基于系统调用序列的入侵检测技术已经取得理论上的重大成功,Stide、T-stide、RIPPER、HMM等多种检测模型相继提出,但因无法满足实时应用而缺乏可操作性.以现有入侵检测技术的发展方向为先导,该文作者针对系统调用序列检测技术的特点,在前人工作基础上,利用模糊控制技术将网络入侵检测技术与主机入侵检测技术相结合,设计了一个实时自适应的入侵检测系统,并对其关键技术模块进行仿真和编程实现.入侵检测系统主要由防火墙模块、网络入侵检测模块、模糊决策器模块、网络状况数据库和服务器六部分组成.工作流程如下:各模块的审计数据生成网络状况数据库,模糊决策器随网络安全状况的实时变化自动做出反应;模糊决策器依据模糊控制理论,将数据流的网络安全状况和实时检测结果模糊化作为模糊控制器的输入,经过模糊推理得到数据流的总安全等级,并依据系统资源使用状况对数据流采取相应的控制措施;依据模糊决策器的决策,服务器端针对入侵行为进行系统调用序列的实时监控检测,并通过截获系统调用做出实时的反应.作者在Matlab Simulink仿真工具包下进行了模糊决策器的设计仿真工作,仿真结果显示模糊模块具有良好的自适应性.进而,以Linux操作系统为平台,利用其可动态加载内核模块特点,在Redhat7.0下设计实现监控检测系统调用序列的动态加载模块,并对服务器性能进行分析测定,验证了动态检测模块作用的实现.论文最后简单讨论了现存模块的问题以及所设计系统的扩展性,并将此作为今后研究的方向.

目录

文摘

英文文摘

独创性声明和学位论文版权使用授权书

第一章绪论

1.1入侵检测技术的简介

1.1.1 Denning的入侵检测模型

1.1.2两种基本的入侵检测系统

1.1.3两种基本检测方法

1.2课题背景

1.3系统调用序列检测技术

1.4论文结构

1.5作者的工作

第二章入侵检测系统的体系结构

2.1介绍

2.2 IDS结构

2.2.1防火墙模块

2.2.2 NIDS模块

2.2.3模糊决策器

2.2.4网络状况数据库

2.2.5服务器模块

2.3小结

第三章模糊控制模块的设计

3.1模糊理论概述

3.1.1模糊集合的概念

3.1.2模糊集的运算

3.1.3 α-截集与分解定理

3.1.4模糊分布

3.2模糊控制理论

3.2.1精确量的模糊化

3.2.2模糊控制规则

3.2.3输出信息的模糊判决

3.3模糊控制模块的设计

3.3.1模糊控制模块的输入

3.3.2模糊控制模块的输出

3.3.3模糊控制规则

3.3.4模糊推理及模糊关系

3.3.5模糊判决

3.4模糊控制模块的仿真及结果分析

3.4.1模糊推理模块的仿真

3.4.2静态仿真结果

3.5小结

第四章系统调用序列检测技术

4.1系统调用序列技术简介

4.1.1异常入侵检测的方法

4.1.2可以选择的方法

4.1.3数据集

4.1.4构建正常行为模型

4.2入侵检测模块的设计

4.2.1异常入侵检测的方法

4.2.2 诱捕

4.3小结

第五章模块实现和性能分析

5.1 Linux操作系统概述

5.1.1进程调度程序系统结构

5.1.2进程间通讯

5.1.3网络接口

5.2入侵检测模块设计

5.2.1系统结构

5.2.2需要完成的任务及关键编程方法介绍

5.3系统的构建环境和实验分析

5.3.1硬件设备

5.3.2 Nttcp测试

5.3.3 Ftp测试

5.4结论

第六章结论与展望

参考文献

作者在攻读硕士学位期间所发表的论文和参加科研情况说明

致谢