基于系统调用和上下文异常检测技术和研究.pdf

分类号:UDC:工学硕士学位论文密级:编号:基于系统调用和上下文的异常检测技术研究硕士研究生:指导教师学位级别学科、专业所在单位论文提交日期:论文答辩日期:学位授予单位:、t1438088阎明郭江鸿副教授工学硕士计算机应用技术计算机科学与技术学院2009年1月12日2009年3月11日哈尔滨工程大学哈尔滨T程大学硕士学何论文摘要随着计算机和网络技术的发展,信息安全成为愈加重要的一个研究领域。传统的信息安全技术包括防火墙和入侵检测等,防火墙技术能够隔离非法访问,但一旦被攻破即失效,而入侵检测系统(IDS)被认为是防火墙之后的第二道安全闸门,它通过对数据源的审计判断系统是否遭到入侵,从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测所利用的技术种类繁多,其中重要的一种是系统调用相关技术。但无论是基于系统调用序列还是其它参数特征的入侵检测系统,都有其缺陷。诸如无法检测不改变调用顺序的攻击,或特征选择未优化导致的高系统开销和低检测能力等。本文在前人研究的基础上,提出了一种基于系统调用参数和进程上下文信息的入侵检测模型。首先通过研究系统调用和入侵的关系,精选了关键系统调用及其关键参数,又通过对调用发生时的进程上下文的研究,选取了能够标志进程不同阶段又与安全相关的上下文信息。接着通过数学方法分析了模型中调用参数和上下文的关联性是紧密的,即此模型理论上是可行的。本文最后通过实验证明了此模型不但能发现不改变调用序列而仅改变调用参数的攻击,同时特征的选取也简练有效,提高了入侵检测系统的性能,从而获得了良好的检测效果,弥补了相关入侵检测技术的不足。关键词:入侵检测;系统调用序列;系统调用参数;worktechnology,,,(IDS)isconsideredasthesecondsecuritygatebehindfirewalls,determineswhetherbeeninvasionbyauditdatasources,providingreal—,orhi【,,toselectkeycontextinformationwhichcanindicatedifferentstagesofprocessandsecurity-,experimentsprovedthismodelnotonlycandetectattackswithoutchangingcallingsequencebutjustchangingcallingarguments,butalsohadconciseandeffectivefeatureselection,improvedthecapabilityoftheIDS,madeasuperiordetectionresults,