基于Linux進程行為的入侵檢測技術研究.pdf

1、隨著各種網絡安全問題的頻頻發(fā)生,入侵檢測能夠積極主動的防御各種攻擊而逐漸成為安全研究領域的熱點。由于入侵者在攻擊系統(tǒng)時大都采用的是攻擊特權進程的方式,特權進程完成某些特定的行為,因此在其正常執(zhí)行時的行為軌跡相對穩(wěn)定,一旦發(fā)生入侵就很容易捕捉到。在此基礎上,本文提出了基于 Linux進程行為的入侵檢測,通過監(jiān)控 Linux系統(tǒng)中的某些特權進程對主機實施安全防護,經過實驗證明該方法對針對主機的入侵活動具有較好的檢測效果。
　　訓練數據

2、的收集以及建模方法的選擇是決定入侵檢測效率的兩個重要因素。首先是訓練數據的收集,我們分析了由于攻擊可能造成的正常行為和入侵行為之間的差異,提出利用系統(tǒng)調用序列作為入侵檢測的數據源。利用可加載內核模塊(LKM)機制在內核收集數據,而把數據的分析處理放在用戶層進行,并利用 ioctl的方式實現數據共享。
　　訓練數據收集完備以后,需要構建入侵檢測的模型。我們研究了幾種現有的基于系統(tǒng)調用序列的異常檢測算法,分析和比較它們各自的優(yōu)缺點,并

3、提出了基于系統(tǒng)調用宏的馬爾科夫鏈異常檢測模型(Macro MCM)。在建模時,提取程序正常行為跡中大量重復出現的有規(guī)律的系統(tǒng)調用短序列作為獨立的基本單位(宏),并以宏為基本單位構建Marco MCM。檢測時逐一讀取系統(tǒng)調用數據并將其與宏進行匹配,然后利用宏序列連續(xù)出現的概率判斷是否發(fā)生入侵。
　　為了驗證提出的模型是否可行,在Linux系統(tǒng)中設計并實現了系統(tǒng)調用采集模塊、預處理模塊、Marco MCM的訓練模塊以及檢測模塊。實驗結