基于系統(tǒng)調(diào)用序列的狀態(tài)轉(zhuǎn)換檢測新方法.pdf

1、隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,計(jì)算機(jī)系統(tǒng)已經(jīng)從獨(dú)立的主機(jī)發(fā)展到復(fù)雜的、互聯(lián)的開放式系統(tǒng),計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的重要性顯得越來越突出. 作為安全模型的核心技術(shù)之一的入侵檢測技術(shù)已是安全研究的重要領(lǐng)域,它檢測和識別針對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的非法攻擊或違反安全策略的行為. 本文以系統(tǒng)調(diào)用為數(shù)據(jù)源,針對當(dāng)前基于系統(tǒng)調(diào)用的入侵檢測方法研究的不足--短序列法只能保留同一短序列內(nèi)的系統(tǒng)調(diào)用的時(shí)序關(guān)系,而狀態(tài)轉(zhuǎn)換法能完整保留系統(tǒng)調(diào)

2、用間的長距離時(shí)序信息,但不適應(yīng)處理系統(tǒng)調(diào)用這樣大批量的信息,且不能檢測未知類型攻擊產(chǎn)生的系統(tǒng)調(diào)用序列.在以往研究的基礎(chǔ)上,提出將狀態(tài)轉(zhuǎn)換方法加入統(tǒng)計(jì)方法來協(xié)助分析.由于系統(tǒng)正常運(yùn)行時(shí)產(chǎn)生的系統(tǒng)調(diào)用序列存在一些比較固定的模式,大多數(shù)統(tǒng)計(jì)方法都能抓住這個(gè)特性,且統(tǒng)計(jì)方法最大的優(yōu)點(diǎn)是有很高的效率和可用性.本文所采用的多元統(tǒng)計(jì)方法更能反映時(shí)序性,即系統(tǒng)調(diào)用間前后的相關(guān)性,使用霍特林統(tǒng)計(jì)方法根據(jù)系統(tǒng)調(diào)用的功能和危險(xiǎn)程度的分類情況來量化縮小檢測范圍

3、、加快速度.狀態(tài)轉(zhuǎn)換檢測為了結(jié)合多元統(tǒng)計(jì)計(jì)算的異常度,對系統(tǒng)狀態(tài)的基本空間的定義和轉(zhuǎn)換規(guī)則做出多個(gè)改進(jìn),包括增加直接和間接轉(zhuǎn)換,并累計(jì)計(jì)算異常程度來判斷入侵行為的發(fā)生. 設(shè)計(jì)并實(shí)現(xiàn)了該模型的原型系統(tǒng),給出數(shù)據(jù)源、規(guī)則定義以及問題描述.根據(jù)兩組訓(xùn)練數(shù)據(jù)和兩組系統(tǒng)調(diào)用分類來對比實(shí)驗(yàn)結(jié)果,進(jìn)行結(jié)果分析和性能的評價(jià).測試表明該模型由于對異常行為和高威脅度行為的統(tǒng)計(jì)量分析和處理,提高了檢測的速度和效率,同時(shí)實(shí)現(xiàn)了基于統(tǒng)計(jì)方法的異常入侵檢測