基于变长模式系统调用序列的主机入侵检测
随着计算机网络和全球信息化的不断发展,计算机及网络信息安全随之成为一个重要的问题.因此,我们需要一种能及时发现入侵,成功阻止入侵的网络安全技术,这就是入侵检测系统.本论文介绍了入侵检测研究现状,分析了入侵检测体系结构,策略和常用的入侵检测技术.在此基础上着重分析了基于免疫的入侵检测方法,并提出了一种结合网络数据报和系统调用,结合基于误用和基于异常的免疫入侵检测模型.有许多基于免疫的入侵检测使用了系统调用监控的方法.本文详细分析了Forrest等人的系统调用入侵检测方法,同时比较它和其他一些算法的优缺点,并指出它们的共同不足之处是采用了固定长度的系统调用序列.为克服此不足之处,我们可以采用变长的系统调用序列检测方法.Rigoutsos等人使用Teiresias组合模式发现算法来发现基因进化中有意义片段,这是一个典型的变长模式生成算法.Wespi等人对此算法进行改进,消除了序列模式中存在的冗余,使模式库大大减小,并把此算法使用到系统调用入侵检测中.以上的方法都是使用单模式匹配的方法,存储和检测效率不太高.本文在对变长模式系统调用序列匹配算法研究分析的基础上,对双链树存储方法进行了改进,形成带辅助跳转结点的双链树存储和搜索方法.这种方法适合变长的多模式匹配,经检验,此法显著减少了存储空间,提高了搜索效率.最后,本文提出了在Linux环境下采用Linux内核模块的方式构建整个变长模式系统调用的入侵检测系统方案.
入侵检测;系统调用序列;变长模式;Teiresias算法;双链树
电子科技大学
硕士
计算机系统结构
卢显良
2004
中文
TP393.08
72
2005-07-14(万方平台首次上网日期,不代表论文的发表时间)