版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、入侵檢測系統(tǒng)是信息安全縱深保護體系的重要組成部分。本文研究了基于操作系統(tǒng)用戶層和內(nèi)核層雙層空間審計跡的基于主機的入侵檢測技術(shù),從源數(shù)據(jù)選擇與收集、源數(shù)據(jù)降維技術(shù)、變長序列進程語義模式抽取方法以及入侵檢測算法這四個方面展開研究和討論,并針對進程行為審計跡的語義特征提出了幾種高效的入侵檢測模型。
本文所做的工作主要包括如下幾點內(nèi)容:
(1)分析了系統(tǒng)調(diào)用作為入侵檢測數(shù)據(jù)源的缺陷,提出了在系統(tǒng)調(diào)用基礎(chǔ)上融合那些與之
2、相補充的Glibc基礎(chǔ)庫函數(shù)來組成入侵檢測數(shù)據(jù)源的方法,并設(shè)計了一套通用的、高可靠性的、可移植的審計跡采集框架模型。該框架模型所采集的審計跡除了內(nèi)核空間系統(tǒng)調(diào)用和用戶空間Glibc基礎(chǔ)庫函數(shù)調(diào)用之外,還包含進程在執(zhí)行時產(chǎn)生的大量審計信息(如時間屬性、屬主屬性、運行參數(shù)、返回值、進程堆棧信息等),依據(jù)這些審計信息可以設(shè)計出更加高效、合理的入侵檢測算法。
(2)針對由于入侵檢測系統(tǒng)正常行為模式庫規(guī)模過于龐大而造成實時性能差的問
3、題,提出了一種基于典型集的源數(shù)據(jù)降維技術(shù)。由于典型集的任何性質(zhì)對于全集都將以很大概率成立,反映了大樣本的平均行為。因此,通過使用典型集的方法對數(shù)據(jù)進行降維處理,在保證入侵檢測效果的前提下,不僅可以減少數(shù)據(jù)存儲量,緩解入侵檢測系統(tǒng)模塊之間的通信壓力,還可以減少入侵檢測系統(tǒng)的訓練時間,提高入侵檢測實時性能。
(3)在基于定長短序列模式的入侵檢測方法中,短序列長度選擇對于入侵檢測效果影響很大,如何選擇合適的短序列長度也一直是一個
4、未解決的難題。本文提出了變長短序列語義模式的抽取方法,這種模式抽取方法,依據(jù)進程執(zhí)行過程中隱含的各個具有獨立語義子狀態(tài),對審計跡進行變長模型短序列切分。由于進程執(zhí)行過程中產(chǎn)生的各個語義子狀態(tài)具有樹型層次依賴關(guān)系,因此,本文利用變長語義模式短序列和審計信息中的進程堆棧函數(shù)返回地址鏈構(gòu)造了一種適合于入侵檢測的、非平衡樹型結(jié)構(gòu)的層次隱馬爾科夫模型,這種層次隱馬爾科夫模型較傳統(tǒng)的隱馬氏模型更能反應(yīng)出各個進程執(zhí)行子狀態(tài)之間的語義轉(zhuǎn)移關(guān)系,具有更好
5、的檢測效果。
(4)針對隱馬爾科夫模型在表達狀態(tài)駐留時間上的不足之處,提出了一種面向進程執(zhí)行語義模式、帶狀態(tài)駐留時間的隱馬爾科夫入侵檢測模型。在該模型中利用狀態(tài)駐留時間分布來描述系統(tǒng)在某一狀態(tài)上的駐留時間,相比于傳統(tǒng)的隱馬爾科夫模型更符合進程的運行特征。在該模型的訓練階段,采用進程語義行為模式序列來構(gòu)造馬氏模型的狀態(tài)集,從而降低了模型的狀態(tài)數(shù)以及算法的計算復(fù)雜度;在該模型的檢測階段,通過計算待測進程產(chǎn)生的定長審計跡短序列在
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 基于主機日志的入侵檢測技術(shù)研究.pdf
- 基于主機用戶行為的入侵檢測技術(shù)研究.pdf
- 基于CCSDSAOS空間網(wǎng)絡(luò)入侵檢測技術(shù)研究.pdf
- 基于主機的入侵檢測方法研究.pdf
- 基于入侵檢測機制的入侵防護技術(shù)研究.pdf
- 基于主機的入侵檢測系統(tǒng)研究.pdf
- 基于免疫原理的空間網(wǎng)絡(luò)入侵檢測技術(shù)研究.pdf
- 基于蜜罐的入侵檢測技術(shù)研究.pdf
- 基于異常的入侵檢測技術(shù)研究.pdf
- 基于主機和網(wǎng)絡(luò)入侵檢測的數(shù)據(jù)挖掘技術(shù)
- 基于策略的主機入侵檢測技術(shù)研究及其在涉密內(nèi)網(wǎng)中的應(yīng)用.pdf
- 基于主機入侵檢測的先進智能方法研究.pdf
- 基于主機的入侵檢測和預(yù)報算法.pdf
- 基于改進的GHSOM入侵檢測技術(shù)研究.pdf
- 基于Euclidean距離的入侵檢測技術(shù)研究.pdf
- 基于否定選擇的入侵檢測技術(shù)研究.pdf
- 基于主機狀態(tài)的木馬檢測技術(shù)研究.pdf
- 基于主機日志的入侵檢測研究與實現(xiàn).pdf
- 基于遷移學習的入侵檢測技術(shù)研究.pdf
- 基于關(guān)聯(lián)規(guī)則的入侵檢測技術(shù)研究.pdf
評論
0/150
提交評論