基于系统调用分析的主机异常入侵检测与防御

摘要

现代计算机系统在信息安全方面受到越来越大的威胁，数据丢失、非法访问、服务攻击以及拒绝服务攻击等。传统信息安全系统中的入侵检测系统在系统安全方面作出了重大贡献，但是目前成熟的入侵检测系统采用仍然采用的是基于误用的入侵检测技术，对待未知的攻击行为无能为力。为此本文对异常行为的检测技术进行重点探讨和研究。汲取生物免疫系统的基本理论，以Linux2.4内核补丁的方式实现基于系统调用序列分析算法的原型系统EUDAEMON。该系统能够主动学习并构建应用系统的正常行为规则，并以此进行主机入侵行为检测。当其发现异常行为时，EUDAEMON同时能进行相应的响应，延迟进行发起的系统调用。围绕EUDAEMON的设计与实现，本文详细论述了异常检测理论、检测算法、实现思路、实现技术以及系统的未来发展。

目录

文摘

英文文摘

声明

第1章绪论

1.1引言

1.2问题与现状

1.3主要研究内容

1.4本文的结构

第2章相关技术

2.1入侵检测

2.1.1入侵检测通用模型

2.1.2入侵检测系统分类

2.1.3入侵检测技术

2.2内核安全

2.3本章小结

第3章概念及相关原理

3.1生物信息处理系统

3.2生物免疫系统

3.2.1免疫系统概念

3.2.2免疫系统与网络安全

3.3免疫机制在EUDAEMON中的运用

3.3.1要求

3.3.2抽象概念

3.4本章小结

第4章系统调用序列分析

4.1系统调用序列分析概述

4.2系统调用序列分析方法

4.2.1序列分析方法定义

4.2.2序列分析的规则学习算法

4.3本章小结

第5章EUDAEMON原型系统设计与实现

5.1实现方式

5.2实现框架

5.2.1“规则学习”、“异常检测”、“异常响应”

5.3 EUDAEMON原型系统设计

5.3.1 EUDAEMON高层设计

5.3.2 EUDAEMON底层设计

5.3.3 EUDAEMON实现

5.4本章小结

结论

参考文献

硕士在读期间完成的论文

致谢