基于系統(tǒng)調(diào)用的文件系統(tǒng)入侵檢測的設計與實現(xiàn).pdf

1、隨著信息技術(shù)的飛速發(fā)展，各種病毒、木馬和黑客的攻擊越來越頻繁。文件系統(tǒng)作為存儲系統(tǒng)的核心，其安全性至關(guān)重要。系統(tǒng)調(diào)用作為內(nèi)核和用戶間的功能接口，大部分對文件系統(tǒng)的操作都要通過它來執(zhí)行，其執(zhí)行序列可以反映出文件系統(tǒng)的操作情況。
　　 鑒于當前主流的入侵檢測工具均沒有為文件系統(tǒng)提供細粒度的入侵檢測，從而給出了基于系統(tǒng)調(diào)用的文件系統(tǒng)入侵檢測原型系統(tǒng)的設計與實現(xiàn)。
　　 入俊檢測原型系統(tǒng)分為入侵數(shù)據(jù)收集和入侵數(shù)據(jù)分析兩部分。入經(jīng)

2、數(shù)據(jù)收集部分設計實現(xiàn)了一個系統(tǒng)調(diào)用日志系統(tǒng)來收集系統(tǒng)調(diào)用信息。選用了對文件系統(tǒng)威脅最大的15個系統(tǒng)調(diào)用作為監(jiān)控對象，采用在內(nèi)核中建立系統(tǒng)調(diào)用鉤子函數(shù)的方法實現(xiàn)對系統(tǒng)調(diào)用的截獲，使用Netlink套接字實現(xiàn)內(nèi)核和用戶空間的數(shù)據(jù)交換。入侵數(shù)據(jù)分析部分基于一個開源的入侵檢測框架實現(xiàn)了日志信息讀取器、解碼器和分析器。
　　 日志讀墩器針對系統(tǒng)調(diào)用信息的存儲格式獨立設計實現(xiàn)。日志解碼器使用入侵檢測框架的解碼功能接口，創(chuàng)建了多層次的解碼器結(jié)