基于系統(tǒng)調(diào)用的異常入侵檢測(cè)系統(tǒng)研究.pdf

1、基于主機(jī)系統(tǒng)調(diào)用序列的入侵檢測(cè)技術(shù)，是針對(duì)主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)進(jìn)行監(jiān)測(cè)的一種安全技術(shù)。由于主機(jī)系統(tǒng)調(diào)用序列反映了系統(tǒng)內(nèi)核的行為特征，有利于對(duì)于系統(tǒng)自身特征的提取和針對(duì)系統(tǒng)自身的監(jiān)測(cè)，從而可以不考慮用戶差別，從系統(tǒng)自身行為的合法性和破壞性上鑒別入侵行為，有效地控制和監(jiān)管特權(quán)程序的使用，辨別濫用職權(quán)的發(fā)生。同時(shí)，這種基于序列模式的分類研究對(duì)于其他基于序列的檢測(cè)技術(shù)，例如基于用戶命令序列的入侵檢測(cè)提供了可以借鑒的方法。 本文主要研究了基于

2、主機(jī)系統(tǒng)調(diào)用入侵檢測(cè)系統(tǒng)的檢測(cè)分類算法?；谥鳈C(jī)系統(tǒng)調(diào)用入侵檢測(cè)模型的關(guān)鍵就是如何能夠更準(zhǔn)確地把從系統(tǒng)中得到的系統(tǒng)調(diào)用序列進(jìn)行分類，為此，文中引進(jìn)了應(yīng)用于文本分類系統(tǒng)中的KNN分類算法(K-NearestNeighbor)，原本用在word里面用來(lái)檢測(cè)單詞正確與否的算法。用文本處理的方法，每個(gè)系統(tǒng)調(diào)用被看成是在一份很長(zhǎng)的文檔中的一個(gè)字，而且一個(gè)進(jìn)程所產(chǎn)生的系統(tǒng)調(diào)用集被看作是那份文檔。這樣一來(lái)就可以把原來(lái)用來(lái)處理文本過(guò)程的方法完整的應(yīng)用到

3、入侵檢測(cè)問(wèn)題上。KNN分析就是一種新的，基于KNN分類的入侵監(jiān)測(cè)的方法。 本文把KNN算法應(yīng)用到基于主機(jī)入侵檢測(cè)系統(tǒng)中，設(shè)計(jì)了一個(gè)基于KNN算法的主機(jī)入侵檢測(cè)系統(tǒng)，論文的研究、設(shè)計(jì)工作主要包括以下幾個(gè)方面：1分析了網(wǎng)絡(luò)安全的現(xiàn)狀，對(duì)入侵技術(shù)及其發(fā)展作了總結(jié)；2研究了基于系統(tǒng)調(diào)用入侵檢測(cè)系統(tǒng)的基本工作原理和算法實(shí)現(xiàn)，并介紹了KNN算法，給出了算法的向量空間描述以及特征值計(jì)算方法；3設(shè)計(jì)了基于系統(tǒng)調(diào)用的入侵檢測(cè)系統(tǒng)模型，介紹了模型的