摘要
ABSTRACT
第一章序论
§1.1系统概述
§1.2本文章节安排
第二章入侵检测系统
§2.1网络安全,刻不容缓
§2.2入侵检测系统概述
2.2.1概念
2.3.2基本结构
2.3.3与防火墙的关系
§2.3入侵检测系统分类
2.3.1数据来源
2.3.2分析方法
2.3.3实效性
2.3.4分布性
§2.4误用检测和异常检测
2.4.1基于异常的入侵检测
2.4.2基于误用的入侵检测
2.4.3误用检测和异常检测的比较
§2.5本章小节
第三章基于系统调用的入侵检测系统
§3.1系统调用概述
3.1.1系统调用的作用
3.1.2系统调用和C函数库的关系
3.1.3系统调用的工作流程
3.1.4获得系统调用的方法
3.1.5系统调用对入侵检测的作用
§3.2误用模型领域内系统调用的使用
3.2.1 Goldberg等的方法
3.2.2 Uppuluri,Ko,Sekar等的specification-based方法
3.2.3本节小结
§3.3异常模型领域内系统调用的使用
3.3.1 Forrest等的系统调用短序列模型
3.3.2 Warrender,Hofmeyr等对Forrest短序列的改进
3.3.3 Sekar等的系统调用状态机模型
3.3.4 Feng等的VtPath模型
3.3.5 Wagner等的源代码静态分析模型
3.3.6黄金钟的结构化描述方法
3.3.7本节小节
§3.4本章小节
第四章理论依据
§4.1算法说明
§4.2技术解决方案
4.2.1通过分析ELF文件格式获得函数地址范围的方法
4.2.2使用ptrace获取系统调用及相关的寄存器、堆栈信息
4.2.3函数堆栈分析
4.2.4判断最顶层未退出函数的方法
4.2.5获得函数局部变量的方法
4.2.6函数堆栈帧中“返回地址”的运用
§4.3训练阶段
§4.4检测阶段
§4.5本章小节
第五章程序实现
§5.1程序框架
§5.2 ELF模块
5.2.1模块架构概述
5.2.2重要函数和结构说明
§5.3 PTRACE模块
5.2.1模块架构概述
5.2.2重要函数介绍
§5.4状态机模块
5.2.1模块架构概述
5.2.2重要函数介绍
§5.5规则库格式
§5.6本章小节
第六章试验结果
§6.1对一般程序的状态机构造情况
§6.2对栈缓冲区溢出攻击的检测报告
§6.3对堆溢出攻击的检测报告
§6.4对格式化字符串攻击的检测报告
§6.5对其它入侵的有效检测
6.5.1特洛伊木马
6.5.2共享库注射
§6.6无法检测的入侵
6.6.1 DOS攻击
6.6.3某些改换参数的攻击
§6.7性能分析
§6.8本章小节
第七章总结和展望
参考文献
致谢