基于系統(tǒng)調(diào)用的文件系統(tǒng)入侵檢測(cè)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著信息技術(shù)的飛速發(fā)展，各種病毒、木馬和黑客的攻擊越來(lái)越頻繁。文件系統(tǒng)作為存儲(chǔ)系統(tǒng)的核心，其安全性至關(guān)重要。系統(tǒng)調(diào)用作為內(nèi)核和用戶間的功能接口，大部分對(duì)文件系統(tǒng)的操作都要通過(guò)它來(lái)執(zhí)行，其執(zhí)行序列可以反映出文件系統(tǒng)的操作情況。
　　 鑒于當(dāng)前主流的入侵檢測(cè)工具均沒(méi)有為文件系統(tǒng)提供細(xì)粒度的入侵檢測(cè)，從而給出了基于系統(tǒng)調(diào)用的文件系統(tǒng)入侵檢測(cè)原型系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。
　　 入俊檢測(cè)原型系統(tǒng)分為入侵?jǐn)?shù)據(jù)收集和入侵?jǐn)?shù)據(jù)分析兩部分。入經(jīng)

2、數(shù)據(jù)收集部分設(shè)計(jì)實(shí)現(xiàn)了一個(gè)系統(tǒng)調(diào)用日志系統(tǒng)來(lái)收集系統(tǒng)調(diào)用信息。選用了對(duì)文件系統(tǒng)威脅最大的15個(gè)系統(tǒng)調(diào)用作為監(jiān)控對(duì)象，采用在內(nèi)核中建立系統(tǒng)調(diào)用鉤子函數(shù)的方法實(shí)現(xiàn)對(duì)系統(tǒng)調(diào)用的截獲，使用Netlink套接字實(shí)現(xiàn)內(nèi)核和用戶空間的數(shù)據(jù)交換。入侵?jǐn)?shù)據(jù)分析部分基于一個(gè)開源的入侵檢測(cè)框架實(shí)現(xiàn)了日志信息讀取器、解碼器和分析器。
　　 日志讀墩器針對(duì)系統(tǒng)調(diào)用信息的存儲(chǔ)格式獨(dú)立設(shè)計(jì)實(shí)現(xiàn)。日志解碼器使用入侵檢測(cè)框架的解碼功能接口，創(chuàng)建了多層次的解碼器結(jié)