基于系統(tǒng)調(diào)用的異常入侵檢測系統(tǒng)研究.pdf

1、基于主機系統(tǒng)調(diào)用序列的入侵檢測技術(shù)，是針對主機系統(tǒng)調(diào)用數(shù)據(jù)進行監(jiān)測的一種安全技術(shù)。由于主機系統(tǒng)調(diào)用序列反映了系統(tǒng)內(nèi)核的行為特征，有利于對于系統(tǒng)自身特征的提取和針對系統(tǒng)自身的監(jiān)測，從而可以不考慮用戶差別，從系統(tǒng)自身行為的合法性和破壞性上鑒別入侵行為，有效地控制和監(jiān)管特權(quán)程序的使用，辨別濫用職權(quán)的發(fā)生。同時，這種基于序列模式的分類研究對于其他基于序列的檢測技術(shù)，例如基于用戶命令序列的入侵檢測提供了可以借鑒的方法。 本文主要研究了基于

2、主機系統(tǒng)調(diào)用入侵檢測系統(tǒng)的檢測分類算法。基于主機系統(tǒng)調(diào)用入侵檢測模型的關(guān)鍵就是如何能夠更準確地把從系統(tǒng)中得到的系統(tǒng)調(diào)用序列進行分類，為此，文中引進了應(yīng)用于文本分類系統(tǒng)中的KNN分類算法(K-NearestNeighbor)，原本用在word里面用來檢測單詞正確與否的算法。用文本處理的方法，每個系統(tǒng)調(diào)用被看成是在一份很長的文檔中的一個字，而且一個進程所產(chǎn)生的系統(tǒng)調(diào)用集被看作是那份文檔。這樣一來就可以把原來用來處理文本過程的方法完整的應(yīng)用到

3、入侵檢測問題上。KNN分析就是一種新的，基于KNN分類的入侵監(jiān)測的方法。 本文把KNN算法應(yīng)用到基于主機入侵檢測系統(tǒng)中，設(shè)計了一個基于KNN算法的主機入侵檢測系統(tǒng)，論文的研究、設(shè)計工作主要包括以下幾個方面：1分析了網(wǎng)絡(luò)安全的現(xiàn)狀，對入侵技術(shù)及其發(fā)展作了總結(jié)；2研究了基于系統(tǒng)調(diào)用入侵檢測系統(tǒng)的基本工作原理和算法實現(xiàn)，并介紹了KNN算法，給出了算法的向量空間描述以及特征值計算方法；3設(shè)計了基于系統(tǒng)調(diào)用的入侵檢測系統(tǒng)模型，介紹了模型的