基于系統(tǒng)調(diào)用序列的狀態(tài)轉(zhuǎn)換檢測新方法.pdf

1、隨著計算機技術和網(wǎng)絡技術的迅速發(fā)展,計算機系統(tǒng)已經(jīng)從獨立的主機發(fā)展到復雜的、互聯(lián)的開放式系統(tǒng),計算機安全和網(wǎng)絡安全的重要性顯得越來越突出. 作為安全模型的核心技術之一的入侵檢測技術已是安全研究的重要領域,它檢測和識別針對計算機系統(tǒng)和網(wǎng)絡系統(tǒng)的非法攻擊或違反安全策略的行為. 本文以系統(tǒng)調(diào)用為數(shù)據(jù)源,針對當前基于系統(tǒng)調(diào)用的入侵檢測方法研究的不足--短序列法只能保留同一短序列內(nèi)的系統(tǒng)調(diào)用的時序關系,而狀態(tài)轉(zhuǎn)換法能完整保留系統(tǒng)調(diào)

2、用間的長距離時序信息,但不適應處理系統(tǒng)調(diào)用這樣大批量的信息,且不能檢測未知類型攻擊產(chǎn)生的系統(tǒng)調(diào)用序列.在以往研究的基礎上,提出將狀態(tài)轉(zhuǎn)換方法加入統(tǒng)計方法來協(xié)助分析.由于系統(tǒng)正常運行時產(chǎn)生的系統(tǒng)調(diào)用序列存在一些比較固定的模式,大多數(shù)統(tǒng)計方法都能抓住這個特性,且統(tǒng)計方法最大的優(yōu)點是有很高的效率和可用性.本文所采用的多元統(tǒng)計方法更能反映時序性,即系統(tǒng)調(diào)用間前后的相關性,使用霍特林統(tǒng)計方法根據(jù)系統(tǒng)調(diào)用的功能和危險程度的分類情況來量化縮小檢測范圍

3、、加快速度.狀態(tài)轉(zhuǎn)換檢測為了結(jié)合多元統(tǒng)計計算的異常度,對系統(tǒng)狀態(tài)的基本空間的定義和轉(zhuǎn)換規(guī)則做出多個改進,包括增加直接和間接轉(zhuǎn)換,并累計計算異常程度來判斷入侵行為的發(fā)生. 設計并實現(xiàn)了該模型的原型系統(tǒng),給出數(shù)據(jù)源、規(guī)則定義以及問題描述.根據(jù)兩組訓練數(shù)據(jù)和兩組系統(tǒng)調(diào)用分類來對比實驗結(jié)果,進行結(jié)果分析和性能的評價.測試表明該模型由于對異常行為和高威脅度行為的統(tǒng)計量分析和處理,提高了檢測的速度和效率,同時實現(xiàn)了基于統(tǒng)計方法的異常入侵檢測