基于Linux進程行為的入侵檢測技術(shù)研究.pdf

1、隨著各種網(wǎng)絡安全問題的頻頻發(fā)生,入侵檢測能夠積極主動的防御各種攻擊而逐漸成為安全研究領域的熱點。由于入侵者在攻擊系統(tǒng)時大都采用的是攻擊特權(quán)進程的方式,特權(quán)進程完成某些特定的行為,因此在其正常執(zhí)行時的行為軌跡相對穩(wěn)定,一旦發(fā)生入侵就很容易捕捉到。在此基礎上,本文提出了基于 Linux進程行為的入侵檢測,通過監(jiān)控 Linux系統(tǒng)中的某些特權(quán)進程對主機實施安全防護,經(jīng)過實驗證明該方法對針對主機的入侵活動具有較好的檢測效果。
　　訓練數(shù)據(jù)

2、的收集以及建模方法的選擇是決定入侵檢測效率的兩個重要因素。首先是訓練數(shù)據(jù)的收集,我們分析了由于攻擊可能造成的正常行為和入侵行為之間的差異,提出利用系統(tǒng)調(diào)用序列作為入侵檢測的數(shù)據(jù)源。利用可加載內(nèi)核模塊(LKM)機制在內(nèi)核收集數(shù)據(jù),而把數(shù)據(jù)的分析處理放在用戶層進行,并利用 ioctl的方式實現(xiàn)數(shù)據(jù)共享。
　　訓練數(shù)據(jù)收集完備以后,需要構(gòu)建入侵檢測的模型。我們研究了幾種現(xiàn)有的基于系統(tǒng)調(diào)用序列的異常檢測算法,分析和比較它們各自的優(yōu)缺點,并

3、提出了基于系統(tǒng)調(diào)用宏的馬爾科夫鏈異常檢測模型(Macro MCM)。在建模時,提取程序正常行為跡中大量重復出現(xiàn)的有規(guī)律的系統(tǒng)調(diào)用短序列作為獨立的基本單位(宏),并以宏為基本單位構(gòu)建Marco MCM。檢測時逐一讀取系統(tǒng)調(diào)用數(shù)據(jù)并將其與宏進行匹配,然后利用宏序列連續(xù)出現(xiàn)的概率判斷是否發(fā)生入侵。
　　為了驗證提出的模型是否可行,在Linux系統(tǒng)中設計并實現(xiàn)了系統(tǒng)調(diào)用采集模塊、預處理模塊、Marco MCM的訓練模塊以及檢測模塊。實驗結(jié)