系統(tǒng)調(diào)用在入侵檢測(cè)中的研究與應(yīng)用.pdf

1、計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的快速發(fā)展，使得我們對(duì)網(wǎng)絡(luò)安全的要求越來(lái)越高。主動(dòng)且動(dòng)態(tài)地對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的入侵檢測(cè)是網(wǎng)絡(luò)安全發(fā)展的一個(gè)新方向，是傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的必要補(bǔ)充。入侵檢測(cè)的主要目標(biāo)是用于檢測(cè)非授權(quán)誤用以及系統(tǒng)內(nèi)部與外部的入侵行為。基于主機(jī)的入侵檢測(cè)系統(tǒng)主要用于對(duì)重點(diǎn)主機(jī)實(shí)施防護(hù)，有較高的檢測(cè)效率和準(zhǔn)確性率。由于大多數(shù)對(duì)系統(tǒng)的攻擊最終是通過(guò)非法執(zhí)行系統(tǒng)調(diào)用來(lái)達(dá)到目的，所以通過(guò)監(jiān)控系統(tǒng)調(diào)用，阻止非法的系統(tǒng)調(diào)用，可以達(dá)到并阻止大多數(shù)的入侵行

2、為，達(dá)到保護(hù)系統(tǒng)的作用。 本文論述了入侵檢測(cè)系統(tǒng)的術(shù)語(yǔ)、功能、模型和分類(lèi)，對(duì)現(xiàn)有的入侵檢測(cè)技術(shù)進(jìn)行了分析說(shuō)明，指出入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)。針對(duì)單純的檢測(cè)方法的缺點(diǎn)，提出了一個(gè)將異常檢測(cè)與誤用檢測(cè)相結(jié)合的混合模型。將異常檢測(cè)中檢測(cè)到的固定入侵模式進(jìn)行整理，加到誤用檢測(cè)的模式庫(kù)中，讓系統(tǒng)日益健壯。 深入研究了系統(tǒng)調(diào)用截獲的常用方法，分析了它們的優(yōu)缺點(diǎn)，選取了基于LKM機(jī)制修改系統(tǒng)調(diào)用表截獲方法和內(nèi)核修改法截獲方法進(jìn)行綜合和改

3、進(jìn)。通過(guò)修改中斷描述符中的偏移量，使其指向截獲函數(shù)，在截獲函數(shù)中提取出CPU寄存器的內(nèi)容。在對(duì)CPU寄存器進(jìn)行相關(guān)的信息收集工作后退出再轉(zhuǎn)入原內(nèi)核服務(wù)程序。這種方法只需要很少的代碼即可實(shí)現(xiàn)，并且對(duì)系統(tǒng)調(diào)用信息的提取能在內(nèi)核高效完成能夠很好地滿(mǎn)足我們的系統(tǒng)要求。 研究了基于異常檢測(cè)的系統(tǒng)調(diào)用入侵檢測(cè)檢測(cè)的常用的模型，分析了他們的優(yōu)缺點(diǎn)，在此基礎(chǔ)上，針對(duì)系統(tǒng)調(diào)用行為不會(huì)隨機(jī)波動(dòng)、非靜態(tài)、系統(tǒng)調(diào)用為非測(cè)度變量等特性，采用有限狀態(tài)自動(dòng)機(jī)