應(yīng)用系統(tǒng)調(diào)用序列技術(shù)的實(shí)時(shí)自適應(yīng)入侵檢測(cè)系統(tǒng)的研究.pdf

1、入侵檢測(cè)是計(jì)算機(jī)安全領(lǐng)域的一項(xiàng)重要技術(shù),它通過(guò)審計(jì)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的行為信息來(lái)進(jìn)行安全檢測(cè).基于系統(tǒng)調(diào)用序列的入侵檢測(cè)技術(shù)已經(jīng)取得理論上的重大成功,Stide、T-stide、RIPPER、HMM等多種檢測(cè)模型相繼提出,但因無(wú)法滿(mǎn)足實(shí)時(shí)應(yīng)用而缺乏可操作性.以現(xiàn)有入侵檢測(cè)技術(shù)的發(fā)展方向?yàn)橄葘?dǎo),該文作者針對(duì)系統(tǒng)調(diào)用序列檢測(cè)技術(shù)的特點(diǎn),在前人工作基礎(chǔ)上,利用模糊控制技術(shù)將網(wǎng)絡(luò)入侵檢測(cè)技術(shù)與主機(jī)入侵檢測(cè)技術(shù)相結(jié)合,設(shè)計(jì)了一個(gè)實(shí)時(shí)自適應(yīng)的入

2、侵檢測(cè)系統(tǒng),并對(duì)其關(guān)鍵技術(shù)模塊進(jìn)行仿真和編程實(shí)現(xiàn).入侵檢測(cè)系統(tǒng)主要由防火墻模塊、網(wǎng)絡(luò)入侵檢測(cè)模塊、模糊決策器模塊、網(wǎng)絡(luò)狀況數(shù)據(jù)庫(kù)和服務(wù)器六部分組成.工作流程如下:各模塊的審計(jì)數(shù)據(jù)生成網(wǎng)絡(luò)狀況數(shù)據(jù)庫(kù),模糊決策器隨網(wǎng)絡(luò)安全狀況的實(shí)時(shí)變化自動(dòng)做出反應(yīng);模糊決策器依據(jù)模糊控制理論,將數(shù)據(jù)流的網(wǎng)絡(luò)安全狀況和實(shí)時(shí)檢測(cè)結(jié)果模糊化作為模糊控制器的輸入,經(jīng)過(guò)模糊推理得到數(shù)據(jù)流的總安全等級(jí),并依據(jù)系統(tǒng)資源使用狀況對(duì)數(shù)據(jù)流采取相應(yīng)的控制措施;依據(jù)模糊決策器的

3、決策,服務(wù)器端針對(duì)入侵行為進(jìn)行系統(tǒng)調(diào)用序列的實(shí)時(shí)監(jiān)控檢測(cè),并通過(guò)截獲系統(tǒng)調(diào)用做出實(shí)時(shí)的反應(yīng).作者在Matlab Simulink仿真工具包下進(jìn)行了模糊決策器的設(shè)計(jì)仿真工作,仿真結(jié)果顯示模糊模塊具有良好的自適應(yīng)性.進(jìn)而,以L(fǎng)inux操作系統(tǒng)為平臺(tái),利用其可動(dòng)態(tài)加載內(nèi)核模塊特點(diǎn),在Redhat7.0下設(shè)計(jì)實(shí)現(xiàn)監(jiān)控檢測(cè)系統(tǒng)調(diào)用序列的動(dòng)態(tài)加載模塊,并對(duì)服務(wù)器性能進(jìn)行分析測(cè)定,驗(yàn)證了動(dòng)態(tài)檢測(cè)模塊作用的實(shí)現(xiàn).論文最后簡(jiǎn)單討論了現(xiàn)存模塊的問(wèn)題以及所設(shè)