基于系統(tǒng)調用的異常入侵檢測技術及IDS擴展功能的研究.pdf

1、該文將對入侵檢測的核心技術異常檢測新模型,IDS(Intrusion Detection Systems)的數(shù)字證據(jù)功能和IDS的警報及其日志的安全事件離線相關性分析技術,三個方面進行了研究.主要研究的內容如下:1.提出了一個基于系統(tǒng)調用宏的異常檢測模型.通過與基于系統(tǒng)調用的一階和二階馬爾可夫鏈異常檢測模型的比較研究得出結論:基于系統(tǒng)調用宏的馬爾可夫鏈模型在檢測性能要高于一階和二階馬爾可夫鏈模型;而在存儲要求上稍高于一階馬爾可夫鏈模型,

2、但低于二階馬爾可夫鏈模型;雖然在訓練時間上是一階和二階馬爾可夫鏈模型若干倍,但實時檢測速度要高于它們兩者.2.提出了一個兩層馬爾可夫鏈異常入侵檢測模型.這些兩層的馬爾可夫鏈用于構建服務進程的正常行為輪廓和異常檢測.3.提出了一個基于系統(tǒng)調用分類的異常檢測模型.系統(tǒng)調用按照功能和危險程度進行了分類,該模型只是針對每類中的關鍵調用(即危險級別為1的系統(tǒng)調用).在學習過程中,動態(tài)地處理每個關鍵調用,而不是對靜態(tài)數(shù)據(jù)進行數(shù)據(jù)挖掘或統(tǒng)計,從而可以

3、實現(xiàn)增量學習.同時通過預定義規(guī)則和精練過程可以有效地減少規(guī)則數(shù)據(jù)庫中的規(guī)則數(shù)目,縮減了檢測過程中規(guī)則的匹配時間.4.在適合生成數(shù)字證據(jù)的密碼學技術研究中提出了:一個集成數(shù)據(jù)簽名和容錯技術并能在加密、傳送、解密和認證三個過程中實現(xiàn)容錯的RSA加密方案;一個基于零知識證明的身份認證協(xié)議;基于零知識證明的數(shù)字簽名方案.這些密碼學技術為IDS能產生合法的數(shù)字證據(jù)提供了可靠的技術手段.5.重新設計了日志實體和加密密鑰產生方法來擴展和增強了安全日志