基于系統(tǒng)調(diào)用的入侵檢測(cè)實(shí)現(xiàn)與評(píng)估.pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展與應(yīng)用，網(wǎng)絡(luò)安全問題日益嚴(yán)重。入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一門正在發(fā)展中的新技術(shù)，而隨著應(yīng)用的普及，對(duì)入侵檢測(cè)系統(tǒng)的評(píng)估研究也變得越來越重要。 系統(tǒng)調(diào)用是操作系統(tǒng)和用戶程序的接口，大多數(shù)入侵往往通過利用特權(quán)進(jìn)程的漏洞來獲得特權(quán)用戶的權(quán)限，進(jìn)而破壞計(jì)算機(jī)系統(tǒng)，因此監(jiān)控特權(quán)進(jìn)程的系統(tǒng)調(diào)用行為可以很好地用來檢測(cè)入侵。根據(jù)這種思想，論文對(duì)入侵檢測(cè)和基于系統(tǒng)調(diào)用的入侵檢測(cè)技術(shù)進(jìn)行了深入分析和討論。 論文首先闡述

2、了入侵檢測(cè)的基本原理，對(duì)各種檢測(cè)技術(shù)進(jìn)行分類和比較，選取基于系統(tǒng)調(diào)用的入侵檢測(cè)系統(tǒng)為實(shí)現(xiàn)對(duì)象，提出了入侵檢測(cè)評(píng)估的構(gòu)想。接著論文從系統(tǒng)調(diào)用的原理出發(fā)，采用ptrace()函數(shù)的方式，實(shí)現(xiàn)了對(duì)以系統(tǒng)調(diào)用號(hào)序列為入侵檢測(cè)數(shù)據(jù)源的獲取。理想的情形認(rèn)為，直接比對(duì)正常用戶行為與異常用戶行為下各自系統(tǒng)調(diào)用序列之間的異同，可以發(fā)現(xiàn)入侵。但由于這些行為的復(fù)雜性，在實(shí)際檢測(cè)中需要采用某種方法對(duì)獲得的序列進(jìn)行建模分析。因此，論文對(duì)基于系統(tǒng)調(diào)用的檢測(cè)算法進(jìn)行