基于雙層空間審計(jì)跡的主機(jī)入侵檢測(cè)技術(shù)研究.pdf

1、入侵檢測(cè)系統(tǒng)是信息安全縱深保護(hù)體系的重要組成部分。本文研究了基于操作系統(tǒng)用戶層和內(nèi)核層雙層空間審計(jì)跡的基于主機(jī)的入侵檢測(cè)技術(shù)，從源數(shù)據(jù)選擇與收集、源數(shù)據(jù)降維技術(shù)、變長(zhǎng)序列進(jìn)程語(yǔ)義模式抽取方法以及入侵檢測(cè)算法這四個(gè)方面展開研究和討論，并針對(duì)進(jìn)程行為審計(jì)跡的語(yǔ)義特征提出了幾種高效的入侵檢測(cè)模型。
　　 本文所做的工作主要包括如下幾點(diǎn)內(nèi)容：
　　 (1)分析了系統(tǒng)調(diào)用作為入侵檢測(cè)數(shù)據(jù)源的缺陷，提出了在系統(tǒng)調(diào)用基礎(chǔ)上融合那些與之

2、相補(bǔ)充的Glibc基礎(chǔ)庫(kù)函數(shù)來(lái)組成入侵檢測(cè)數(shù)據(jù)源的方法，并設(shè)計(jì)了一套通用的、高可靠性的、可移植的審計(jì)跡采集框架模型。該框架模型所采集的審計(jì)跡除了內(nèi)核空間系統(tǒng)調(diào)用和用戶空間Glibc基礎(chǔ)庫(kù)函數(shù)調(diào)用之外，還包含進(jìn)程在執(zhí)行時(shí)產(chǎn)生的大量審計(jì)信息(如時(shí)間屬性、屬主屬性、運(yùn)行參數(shù)、返回值、進(jìn)程堆棧信息等)，依據(jù)這些審計(jì)信息可以設(shè)計(jì)出更加高效、合理的入侵檢測(cè)算法。
　　 (2)針對(duì)由于入侵檢測(cè)系統(tǒng)正常行為模式庫(kù)規(guī)模過(guò)于龐大而造成實(shí)時(shí)性能差的問(wèn)

3、題，提出了一種基于典型集的源數(shù)據(jù)降維技術(shù)。由于典型集的任何性質(zhì)對(duì)于全集都將以很大概率成立，反映了大樣本的平均行為。因此，通過(guò)使用典型集的方法對(duì)數(shù)據(jù)進(jìn)行降維處理，在保證入侵檢測(cè)效果的前提下，不僅可以減少數(shù)據(jù)存儲(chǔ)量，緩解入侵檢測(cè)系統(tǒng)模塊之間的通信壓力，還可以減少入侵檢測(cè)系統(tǒng)的訓(xùn)練時(shí)間，提高入侵檢測(cè)實(shí)時(shí)性能。
　　 (3)在基于定長(zhǎng)短序列模式的入侵檢測(cè)方法中，短序列長(zhǎng)度選擇對(duì)于入侵檢測(cè)效果影響很大，如何選擇合適的短序列長(zhǎng)度也一直是一個(gè)

4、未解決的難題。本文提出了變長(zhǎng)短序列語(yǔ)義模式的抽取方法，這種模式抽取方法，依據(jù)進(jìn)程執(zhí)行過(guò)程中隱含的各個(gè)具有獨(dú)立語(yǔ)義子狀態(tài)，對(duì)審計(jì)跡進(jìn)行變長(zhǎng)模型短序列切分。由于進(jìn)程執(zhí)行過(guò)程中產(chǎn)生的各個(gè)語(yǔ)義子狀態(tài)具有樹型層次依賴關(guān)系，因此，本文利用變長(zhǎng)語(yǔ)義模式短序列和審計(jì)信息中的進(jìn)程堆棧函數(shù)返回地址鏈構(gòu)造了一種適合于入侵檢測(cè)的、非平衡樹型結(jié)構(gòu)的層次隱馬爾科夫模型，這種層次隱馬爾科夫模型較傳統(tǒng)的隱馬氏模型更能反應(yīng)出各個(gè)進(jìn)程執(zhí)行子狀態(tài)之間的語(yǔ)義轉(zhuǎn)移關(guān)系，具有更好

5、的檢測(cè)效果。
　　 (4)針對(duì)隱馬爾科夫模型在表達(dá)狀態(tài)駐留時(shí)間上的不足之處，提出了一種面向進(jìn)程執(zhí)行語(yǔ)義模式、帶狀態(tài)駐留時(shí)間的隱馬爾科夫入侵檢測(cè)模型。在該模型中利用狀態(tài)駐留時(shí)間分布來(lái)描述系統(tǒng)在某一狀態(tài)上的駐留時(shí)間，相比于傳統(tǒng)的隱馬爾科夫模型更符合進(jìn)程的運(yùn)行特征。在該模型的訓(xùn)練階段，采用進(jìn)程語(yǔ)義行為模式序列來(lái)構(gòu)造馬氏模型的狀態(tài)集，從而降低了模型的狀態(tài)數(shù)以及算法的計(jì)算復(fù)雜度；在該模型的檢測(cè)階段，通過(guò)計(jì)算待測(cè)進(jìn)程產(chǎn)生的定長(zhǎng)審計(jì)跡短序列在