應用系統(tǒng)調用序列技術的實時自適應入侵檢測系統(tǒng)的研究.pdf

1、入侵檢測是計算機安全領域的一項重要技術,它通過審計計算機網(wǎng)絡和計算機系統(tǒng)的行為信息來進行安全檢測.基于系統(tǒng)調用序列的入侵檢測技術已經(jīng)取得理論上的重大成功,Stide、T-stide、RIPPER、HMM等多種檢測模型相繼提出,但因無法滿足實時應用而缺乏可操作性.以現(xiàn)有入侵檢測技術的發(fā)展方向為先導,該文作者針對系統(tǒng)調用序列檢測技術的特點,在前人工作基礎上,利用模糊控制技術將網(wǎng)絡入侵檢測技術與主機入侵檢測技術相結合,設計了一個實時自適應的入

2、侵檢測系統(tǒng),并對其關鍵技術模塊進行仿真和編程實現(xiàn).入侵檢測系統(tǒng)主要由防火墻模塊、網(wǎng)絡入侵檢測模塊、模糊決策器模塊、網(wǎng)絡狀況數(shù)據(jù)庫和服務器六部分組成.工作流程如下:各模塊的審計數(shù)據(jù)生成網(wǎng)絡狀況數(shù)據(jù)庫,模糊決策器隨網(wǎng)絡安全狀況的實時變化自動做出反應;模糊決策器依據(jù)模糊控制理論,將數(shù)據(jù)流的網(wǎng)絡安全狀況和實時檢測結果模糊化作為模糊控制器的輸入,經(jīng)過模糊推理得到數(shù)據(jù)流的總安全等級,并依據(jù)系統(tǒng)資源使用狀況對數(shù)據(jù)流采取相應的控制措施;依據(jù)模糊決策器的

3、決策,服務器端針對入侵行為進行系統(tǒng)調用序列的實時監(jiān)控檢測,并通過截獲系統(tǒng)調用做出實時的反應.作者在Matlab Simulink仿真工具包下進行了模糊決策器的設計仿真工作,仿真結果顯示模糊模塊具有良好的自適應性.進而,以Linux操作系統(tǒng)為平臺,利用其可動態(tài)加載內核模塊特點,在Redhat7.0下設計實現(xiàn)監(jiān)控檢測系統(tǒng)調用序列的動態(tài)加載模塊,并對服務器性能進行分析測定,驗證了動態(tài)檢測模塊作用的實現(xiàn).論文最后簡單討論了現(xiàn)存模塊的問題以及所設