一種基于系統(tǒng)調(diào)用參數(shù)的入侵檢測方法的研究.pdf

1、入侵檢測是一種積極主動的安全防護技術(shù)，它可以監(jiān)視主機系統(tǒng)或是網(wǎng)絡(luò)上的用戶活動，發(fā)現(xiàn)可能存在的入侵行為。基于系統(tǒng)調(diào)用序列的入侵檢測方法是當前入侵檢測技術(shù)中的重要技術(shù)?；谙到y(tǒng)調(diào)用序列的檢測技術(shù)使用系統(tǒng)調(diào)用序列來描述應用程序的正常行為，只是考慮了序列之間的時序關(guān)系，因此一些攻擊通過在系統(tǒng)調(diào)用參數(shù)中注入代碼的方式來繞過檢測，從而影響了系統(tǒng)檢測的準確性和效率。
　　首先，本文在對基于系統(tǒng)調(diào)用序列的異常檢測技術(shù)深入分析的基礎(chǔ)上，提取系統(tǒng)調(diào)用

2、的參數(shù)，根據(jù)系統(tǒng)調(diào)用參數(shù)不同的特性建立了系統(tǒng)調(diào)用參數(shù)的字符串長度模式、參數(shù)的字符分布模式和參數(shù)的字符串結(jié)構(gòu)推斷模式，用來檢測參數(shù)中的過長字符串、字符串中出現(xiàn)高頻字符和非法訪問文件等一些潛在的攻擊行為。
　　其次，針對目前入侵檢測技術(shù)對程序行為提取方法所存在的不足，本文采用修改中斷向量表的方法截獲系統(tǒng)調(diào)用，實現(xiàn)系統(tǒng)調(diào)用參數(shù)提取。并在此基礎(chǔ)上，利用LKM技術(shù)使用戶實時提取系統(tǒng)調(diào)用的行為信息，通過加載檢測模塊實現(xiàn)對用戶行為監(jiān)控，彌補了傳