一種基于系統(tǒng)調(diào)用參數(shù)的入侵檢測(cè)方法的研究.pdf

1、入侵檢測(cè)是一種積極主動(dòng)的安全防護(hù)技術(shù)，它可以監(jiān)視主機(jī)系統(tǒng)或是網(wǎng)絡(luò)上的用戶活動(dòng)，發(fā)現(xiàn)可能存在的入侵行為?；谙到y(tǒng)調(diào)用序列的入侵檢測(cè)方法是當(dāng)前入侵檢測(cè)技術(shù)中的重要技術(shù)?；谙到y(tǒng)調(diào)用序列的檢測(cè)技術(shù)使用系統(tǒng)調(diào)用序列來(lái)描述應(yīng)用程序的正常行為，只是考慮了序列之間的時(shí)序關(guān)系，因此一些攻擊通過(guò)在系統(tǒng)調(diào)用參數(shù)中注入代碼的方式來(lái)繞過(guò)檢測(cè)，從而影響了系統(tǒng)檢測(cè)的準(zhǔn)確性和效率。
　　首先，本文在對(duì)基于系統(tǒng)調(diào)用序列的異常檢測(cè)技術(shù)深入分析的基礎(chǔ)上，提取系統(tǒng)調(diào)用

2、的參數(shù)，根據(jù)系統(tǒng)調(diào)用參數(shù)不同的特性建立了系統(tǒng)調(diào)用參數(shù)的字符串長(zhǎng)度模式、參數(shù)的字符分布模式和參數(shù)的字符串結(jié)構(gòu)推斷模式，用來(lái)檢測(cè)參數(shù)中的過(guò)長(zhǎng)字符串、字符串中出現(xiàn)高頻字符和非法訪問(wèn)文件等一些潛在的攻擊行為。
　　其次，針對(duì)目前入侵檢測(cè)技術(shù)對(duì)程序行為提取方法所存在的不足，本文采用修改中斷向量表的方法截獲系統(tǒng)調(diào)用，實(shí)現(xiàn)系統(tǒng)調(diào)用參數(shù)提取。并在此基礎(chǔ)上，利用LKM技術(shù)使用戶實(shí)時(shí)提取系統(tǒng)調(diào)用的行為信息，通過(guò)加載檢測(cè)模塊實(shí)現(xiàn)對(duì)用戶行為監(jiān)控，彌補(bǔ)了傳