在linux2.6內(nèi)核版本中構(gòu)建基于主機的入侵檢測系統(tǒng)

1、摘要摘要隨 著玩 t e m e t 在 全球的 普及和發(fā) 展， 入侵檢測系 統(tǒng)正 在 成為網(wǎng) 絡(luò)安 全體系中不可或缺的重要組成部分。本文的目 標是在 L i n u x2 . 6系列內(nèi)核的 環(huán)境下，構(gòu)造基于 主 機的 入侵檢測系統(tǒng)。 系統(tǒng)采用針對特定進程的系統(tǒng)調(diào) 用及相關(guān)的 進程信息為 數(shù)據(jù)源，以 系統(tǒng)調(diào)用短序列和最大似然系統(tǒng)調(diào)用短 序列為匹 配模型。當檢測到 異常時， 系統(tǒng)將能自 動以 系統(tǒng)調(diào) 用延遲、調(diào)整進程調(diào) 度優(yōu)先級、中 止進

2、程、屏幕打印 警告信息等方式做出自 動反 饋。 本 文的 所有工作都是基于1 3 8 6 體系結(jié)構(gòu)。本文的研究內(nèi)容主要包括:0 ) 針 對L i n u x Z . 6 系 列內(nèi) 核 ， 提出 了 一 整 套 系 統(tǒng) 調(diào) 用 及 相 關(guān) 進 程 信 息 的 截獲方法.由 于最新版本內(nèi) 核在系 統(tǒng)調(diào)用實 現(xiàn)方 式上的變化，已 有的系統(tǒng)調(diào)用截獲技術(shù)已 經(jīng)無法獲取到所需的系 統(tǒng)調(diào)用數(shù) 據(jù)。 本文提出的 方法能 夠做到高效地獲取8 0 中 斷或

3、s y s e n t e r指令兩種方式所引 發(fā)的 全部系統(tǒng)調(diào) 用的 信息.( 2 ) 介紹了 如 何實 現(xiàn) 一個 快 速而 準 確的 數(shù) 據(jù)分 析算 法， 作為 我 們?nèi)?侵 檢測系統(tǒng)的 數(shù)據(jù)分析引 擎。 該算法兼顧了 分 析的 準 確性和計算時的C P U消耗， 能夠幫助我們提高入侵檢測系統(tǒng)的實時性。( 3 ) 提出 并實 現(xiàn)了 一 整 套 入 侵 檢 測結(jié)果 的 響 應(yīng)方案。 該 方 案能 夠自 主 且靈活地對檢測結(jié)果做出 適當

4、的反饋， 且盡量保 證當檢測出現(xiàn)誤報時的 錯誤響應(yīng)代價不致過大。本文深入探討并實現(xiàn)了 在 L i n u x Z . 6內(nèi) 核版本中構(gòu)建基于主機的入侵檢測系統(tǒng)的一些關(guān)鍵技術(shù)，并對系統(tǒng)本身做了比較全面的介紹。本文所做的工作對于實現(xiàn)具體的實時入侵檢測系統(tǒng)具有一定的參考價值。關(guān)鍵詞: 入侵檢測 L i n u x 系統(tǒng)調(diào)用南開大學(xué)學(xué)位論文版權(quán)使用授權(quán)書本人完全了 解南開大學(xué)關(guān)于收集、 保存、使用學(xué)位論文的規(guī)定，同意如下各項內(nèi)容:按照學(xué)校要求提

5、交學(xué)位論文的印刷本和電子版本; 學(xué) 校有權(quán)保存學(xué)位論文的印刷本和電 子版，并采用影印、 縮印、掃描、 數(shù)字化或其它手段保存論文; 學(xué)校有權(quán)提供目 錄檢索以 及提供本學(xué) 位論文全文或者部分的閱覽 服務(wù); 學(xué) 校有權(quán)按有關(guān)規(guī)定向國 家 有關(guān)部門 或者機構(gòu)送交論文的復(fù)印 件和電 子版; 在不以 贏利為目 的的前提下， 學(xué)?？梢?適當復(fù)制論文的部分或全部內(nèi)容用于學(xué)術(shù)活動。學(xué) 位 論 文 作 者 簽 名 : 切 妒、，砰夕 月 劉 日經(jīng)指導(dǎo)教師同