基于系統(tǒng)調(diào)用的主機安全研究.pdf

1、入侵檢測技術(shù)是保護(hù)網(wǎng)絡(luò)系統(tǒng)的重要手段之一，基于主機的入侵檢測系統(tǒng)主要用于對重點主機實施防護(hù)，具有檢測效率高和檢測準(zhǔn)確性高等優(yōu)點。系統(tǒng)調(diào)用是外界進(jìn)入系統(tǒng)的必經(jīng)之路，是攻擊者入侵系統(tǒng)的主要攻擊目標(biāo)，本文從異常檢測和誤用檢測兩個方面研究了基于系統(tǒng)調(diào)用的入侵檢測方法，同時對基于免疫機理的入侵檢測系統(tǒng)進(jìn)行了詳細(xì)介紹，最后對基于系統(tǒng)調(diào)用的入侵響應(yīng)方面進(jìn)行了探討性研究。 目前，系統(tǒng)調(diào)用序列已成為基于主機入侵檢測系統(tǒng)重要的數(shù)據(jù)源，通過分析系統(tǒng)調(diào)

2、用序列來判斷入侵事件具有準(zhǔn)確性高、誤報率低和穩(wěn)定性好等優(yōu)點。本文結(jié)合誤用檢測和異常檢測技術(shù)首次提出一種基于系統(tǒng)調(diào)用的分級檢測模型，異常檢測部分使用一種針對系統(tǒng)調(diào)用序列的高效低負(fù)的檢測方法，通過粗糙集理論分析進(jìn)程正常運行時產(chǎn)生的系統(tǒng)調(diào)用序列，提取最簡的預(yù)測規(guī)則模型。該方法建立正常模型需要的訓(xùn)練數(shù)據(jù)獲取簡單，生成的小規(guī)則集利于實時檢測，能更有效的檢測進(jìn)程的異常運行狀態(tài)。實驗證明該方法的檢測效率明顯優(yōu)于其他建模方法。 其次本文對基于免