基于系统调用状态机的异常入侵检测方法

摘要

自从计算机问世以来,安全问题就一直存在.特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事.在这种需求背景下,入侵检测系统(IDS)应运而生.入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动.在入侵监测这个领域内,异常检测是一个重要分支.这种模型的特点是首先总结正常操作应该具有的特性,例如特定用尸的操作习惯与某些操作的频率等.在得出正常操作的模型之后,对后续的操作进行监视,一旦发现偏离正常模型,则认为发生了入侵.系统调用是入侵监测系统的一种非常有效的输入,我们可以使用一种模型描述系统调用的序列关系,从而进行异常入侵检测.该文论述了一种新的异常入侵检测方法.该方法使用系统调用作为输入,构建程序中函数的有限状态自动机,然后利用该自动机检测入侵事件.该方法还可以发现程序漏洞的位置,便于修改代码.实验证明,该算法对于多种主流入侵方式有良好的检测效果.

目录

摘要

ABSTRACT

第一章序论

§1.1系统概述

§1.2本文章节安排

第二章入侵检测系统

§2.1网络安全，刻不容缓

§2.2入侵检测系统概述

2.2.1概念

2.3.2基本结构

2.3.3与防火墙的关系

§2.3入侵检测系统分类

2.3.1数据来源

2.3.2分析方法

2.3.3实效性

2.3.4分布性

§2.4误用检测和异常检测

2.4.1基于异常的入侵检测

2.4.2基于误用的入侵检测

2.4.3误用检测和异常检测的比较

§2.5本章小节

第三章基于系统调用的入侵检测系统

§3.1系统调用概述

3.1.1系统调用的作用

3.1.2系统调用和C函数库的关系

3.1.3系统调用的工作流程

3.1.4获得系统调用的方法

3.1.5系统调用对入侵检测的作用

§3.2误用模型领域内系统调用的使用

3.2.1 Goldberg等的方法

3.2.2 Uppuluri，Ko，Sekar等的specification-based方法

3.2.3本节小结

§3.3异常模型领域内系统调用的使用

3.3.1 Forrest等的系统调用短序列模型

3.3.2 Warrender，Hofmeyr等对Forrest短序列的改进

3.3.3 Sekar等的系统调用状态机模型

3.3.4 Feng等的VtPath模型

3.3.5 Wagner等的源代码静态分析模型

3.3.6黄金钟的结构化描述方法

3.3.7本节小节

§3.4本章小节

第四章理论依据

§4.1算法说明

§4.2技术解决方案

4.2.1通过分析ELF文件格式获得函数地址范围的方法

4.2.2使用ptrace获取系统调用及相关的寄存器、堆栈信息

4.2.3函数堆栈分析

4.2.4判断最顶层未退出函数的方法

4.2.5获得函数局部变量的方法

4.2.6函数堆栈帧中“返回地址”的运用

§4.3训练阶段

§4.4检测阶段

§4.5本章小节

第五章程序实现

§5.1程序框架

§5.2 ELF模块

5.2.1模块架构概述

5.2.2重要函数和结构说明

§5.3 PTRACE模块

5.2.1模块架构概述

5.2.2重要函数介绍

§5.4状态机模块

5.2.1模块架构概述

5.2.2重要函数介绍

§5.5规则库格式

§5.6本章小节

第六章试验结果

§6.1对一般程序的状态机构造情况

§6.2对栈缓冲区溢出攻击的检测报告

§6.3对堆溢出攻击的检测报告

§6.4对格式化字符串攻击的检测报告

§6.5对其它入侵的有效检测

6.5.1特洛伊木马

6.5.2共享库注射

§6.6无法检测的入侵

6.6.1 DOS攻击

6.6.3某些改换参数的攻击

§6.7性能分析

§6.8本章小节

第七章总结和展望

参考文献

致谢