系統(tǒng)調(diào)用在入侵檢測中的研究與應(yīng)用.pdf

1、計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的快速發(fā)展，使得我們對網(wǎng)絡(luò)安全的要求越來越高。主動(dòng)且動(dòng)態(tài)地對網(wǎng)絡(luò)進(jìn)行安全防護(hù)的入侵檢測是網(wǎng)絡(luò)安全發(fā)展的一個(gè)新方向，是傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的必要補(bǔ)充。入侵檢測的主要目標(biāo)是用于檢測非授權(quán)誤用以及系統(tǒng)內(nèi)部與外部的入侵行為?；谥鳈C(jī)的入侵檢測系統(tǒng)主要用于對重點(diǎn)主機(jī)實(shí)施防護(hù)，有較高的檢測效率和準(zhǔn)確性率。由于大多數(shù)對系統(tǒng)的攻擊最終是通過非法執(zhí)行系統(tǒng)調(diào)用來達(dá)到目的，所以通過監(jiān)控系統(tǒng)調(diào)用，阻止非法的系統(tǒng)調(diào)用，可以達(dá)到并阻止大多數(shù)的入侵行

2、為，達(dá)到保護(hù)系統(tǒng)的作用。 本文論述了入侵檢測系統(tǒng)的術(shù)語、功能、模型和分類，對現(xiàn)有的入侵檢測技術(shù)進(jìn)行了分析說明，指出入侵檢測系統(tǒng)的發(fā)展趨勢。針對單純的檢測方法的缺點(diǎn)，提出了一個(gè)將異常檢測與誤用檢測相結(jié)合的混合模型。將異常檢測中檢測到的固定入侵模式進(jìn)行整理，加到誤用檢測的模式庫中，讓系統(tǒng)日益健壯。 深入研究了系統(tǒng)調(diào)用截獲的常用方法，分析了它們的優(yōu)缺點(diǎn)，選取了基于LKM機(jī)制修改系統(tǒng)調(diào)用表截獲方法和內(nèi)核修改法截獲方法進(jìn)行綜合和改

3、進(jìn)。通過修改中斷描述符中的偏移量，使其指向截獲函數(shù)，在截獲函數(shù)中提取出CPU寄存器的內(nèi)容。在對CPU寄存器進(jìn)行相關(guān)的信息收集工作后退出再轉(zhuǎn)入原內(nèi)核服務(wù)程序。這種方法只需要很少的代碼即可實(shí)現(xiàn)，并且對系統(tǒng)調(diào)用信息的提取能在內(nèi)核高效完成能夠很好地滿足我們的系統(tǒng)要求。 研究了基于異常檢測的系統(tǒng)調(diào)用入侵檢測檢測的常用的模型，分析了他們的優(yōu)缺點(diǎn)，在此基礎(chǔ)上，針對系統(tǒng)調(diào)用行為不會(huì)隨機(jī)波動(dòng)、非靜態(tài)、系統(tǒng)調(diào)用為非測度變量等特性，采用有限狀態(tài)自動(dòng)機(jī)