基于Linux進(jìn)程行為的入侵檢測技術(shù)研究.pdf

1、隨著各種網(wǎng)絡(luò)安全問題的頻頻發(fā)生,入侵檢測能夠積極主動的防御各種攻擊而逐漸成為安全研究領(lǐng)域的熱點。由于入侵者在攻擊系統(tǒng)時大都采用的是攻擊特權(quán)進(jìn)程的方式,特權(quán)進(jìn)程完成某些特定的行為,因此在其正常執(zhí)行時的行為軌跡相對穩(wěn)定,一旦發(fā)生入侵就很容易捕捉到。在此基礎(chǔ)上,本文提出了基于 Linux進(jìn)程行為的入侵檢測,通過監(jiān)控 Linux系統(tǒng)中的某些特權(quán)進(jìn)程對主機實施安全防護(hù),經(jīng)過實驗證明該方法對針對主機的入侵活動具有較好的檢測效果。
　　訓(xùn)練數(shù)據(jù)

2、的收集以及建模方法的選擇是決定入侵檢測效率的兩個重要因素。首先是訓(xùn)練數(shù)據(jù)的收集,我們分析了由于攻擊可能造成的正常行為和入侵行為之間的差異,提出利用系統(tǒng)調(diào)用序列作為入侵檢測的數(shù)據(jù)源。利用可加載內(nèi)核模塊(LKM)機制在內(nèi)核收集數(shù)據(jù),而把數(shù)據(jù)的分析處理放在用戶層進(jìn)行,并利用 ioctl的方式實現(xiàn)數(shù)據(jù)共享。
　　訓(xùn)練數(shù)據(jù)收集完備以后,需要構(gòu)建入侵檢測的模型。我們研究了幾種現(xiàn)有的基于系統(tǒng)調(diào)用序列的異常檢測算法,分析和比較它們各自的優(yōu)缺點,并

3、提出了基于系統(tǒng)調(diào)用宏的馬爾科夫鏈異常檢測模型(Macro MCM)。在建模時,提取程序正常行為跡中大量重復(fù)出現(xiàn)的有規(guī)律的系統(tǒng)調(diào)用短序列作為獨立的基本單位(宏),并以宏為基本單位構(gòu)建Marco MCM。檢測時逐一讀取系統(tǒng)調(diào)用數(shù)據(jù)并將其與宏進(jìn)行匹配,然后利用宏序列連續(xù)出現(xiàn)的概率判斷是否發(fā)生入侵。
　　為了驗證提出的模型是否可行,在Linux系統(tǒng)中設(shè)計并實現(xiàn)了系統(tǒng)調(diào)用采集模塊、預(yù)處理模塊、Marco MCM的訓(xùn)練模塊以及檢測模塊。實驗結(jié)