基于Windows系统调用的异常检测.doc

Thesis submitted to
Shanghai Jiao Tong University
for the degree of Master puter Science
Anomaly Detection Model Based on System Call on
Windows System
Candidate: Zhang Minglei
Supervisor: Li Xiaoyong
The School of Information Security
Shanghai Jiao Tong University
January, 2008
基于 Windows 系统调用的异常检测
摘

要
随着计算机与互联网技术的迅猛增长,越来越多的人开始接触使用计算机,
但是随着社会网络化程度的增加,开放式网络体系的一个潜在弊端,即安全性隐
患日益明显开始暴露起来。
入侵检测技术是为了保证计算机系统的安全而设计与配置的一种及时发现
并报告系统中未授权或异常现象的技术。当前论文研究的是一种异常检测方法在
入侵检测技术中的应用,即利用系统调用进行异常检测。
本文从不同层次、多个角度针对如何提高入侵检测系统的性能进行了深入研
究,主要的创新性工作如下:
(1) 本文提出一个基于Windows系统调用序列检测的异常检测模型。通过开发
内核虚拟设备的方法截获系统服务分配表,从而可实时地获取Native API信息。
用被截获的正常Native API数据建立模型,并以此描述进程的正常行为。
(2) 本文在原有的系统调用序列串算法的基础上,提出了通过系统调用参数
来分析、判断程序行为,通过将关键系统文件作为参数引入到系统调用短序列算
法中,将异常检测模型的检测力度进一步加大,也进一步提升了异常检测模型的
精确度。
(3) 通过引入局域框架计数提高系统调用短序列算法的检测精确度。引入局
域框架计数之后,原本较为简单粗糙的系统调用短序列算法能够在大幅度上提高
效率,区分出异常程序行为与正常程序行为,从而对系统是否遭受入侵做出决策。
论文的最后对下一步的工作进行了探讨,并且对入侵检测的进一步发展和应
用进行了展望。
关键词:入侵检测,异常检测,系统调用,检测算法,局域框架计数
Anomaly Detection Model Based on System Call on
Windows System
Abstract
With the rapid development puter and technology, network
intrusion is ing a serious problem, and intrusion detection es a critical
component work security detection system is a
combination of hardware and software that monitors and collects system work
information and analyzes it to determine if an attack or an intrusion has occurred.
An intrusion detection system based on Windows server operating system with
an abnormal detection method was designed by using Windows system call.
Trying perspective, to improve the performance of the intrusion detection
process from all the different approaches are presented in this paper as follows:
(1) An anomaly detection model based on Native API sequences was proposed
to realize the detection of the anomaly intrusions from kernel space in Windows
operating system. The IPS first contribution is to apply the system call interposition
technique to the Window