基于變長系統(tǒng)調(diào)用序列入侵檢測的研究與實(shí)現(xiàn).pdf

1、入侵檢測技術(shù)是一種主動(dòng)的信息安全保障措施，已成為現(xiàn)代計(jì)算機(jī)系統(tǒng)安全技術(shù)中的研究熱點(diǎn)。它的主要任務(wù)是按照一定的策略，對(duì)網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊行為，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。
　　 本文首先陳述了入侵檢測的研究背景和發(fā)展，以及入侵檢測系統(tǒng)(IDS)的概念、原理和分類。
　　 其次，重點(diǎn)分析了基于系統(tǒng)調(diào)用的入侵檢測方法。本文針對(duì)目前各種基于系統(tǒng)調(diào)用的入侵檢測技術(shù)進(jìn)行了研究與比較，指出現(xiàn)有算

2、法的不足之處：采用固定長度的系統(tǒng)調(diào)用序列。為克服不足之處，本文采用變長的系統(tǒng)調(diào)用序列檢測方法，將Teiresias組合模式發(fā)現(xiàn)算法，這一典型的變長模式生成算法應(yīng)用到系統(tǒng)調(diào)用入侵檢測中。高效的模式匹配算法能夠顯著提高入侵檢測效率。本文在分析了幾個(gè)常用多模式匹配算法的基礎(chǔ)上，根據(jù)理論[32]指導(dǎo)對(duì)Wu-Manber算法進(jìn)行了改進(jìn)，結(jié)合了Quick-Search匹配算法的思想，在預(yù)處理階段構(gòu)造了一個(gè)Head表，增加了WM算法的跳轉(zhuǎn)距離，實(shí)驗(yàn)表

3、明改進(jìn)算法可以有效地減小匹配步數(shù)，提高匹配效率。
　　 最后，在Unix環(huán)境中構(gòu)建了一個(gè)基于變長系統(tǒng)調(diào)用序列模式的入侵檢測模型，設(shè)計(jì)并實(shí)現(xiàn)了數(shù)據(jù)收集模塊、正常行為模式建立模塊、檢測模塊。在數(shù)據(jù)收集模塊中，采用LKM技術(shù)收集程序執(zhí)行的系統(tǒng)調(diào)用序列。模式抽取模塊采用基于Teiresias算法的變長模式抽取方法構(gòu)建程序正常行為模式庫。檢測模塊采用改進(jìn)的WM算法進(jìn)行入侵判斷。利用新墨西哥大學(xué)提供的仿真數(shù)據(jù)進(jìn)行了實(shí)驗(yàn)測試，實(shí)驗(yàn)表明，本文提