基于雙層空間審計跡的主機入侵檢測技術研究.pdf

1、入侵檢測系統(tǒng)是信息安全縱深保護體系的重要組成部分。本文研究了基于操作系統(tǒng)用戶層和內(nèi)核層雙層空間審計跡的基于主機的入侵檢測技術，從源數(shù)據(jù)選擇與收集、源數(shù)據(jù)降維技術、變長序列進程語義模式抽取方法以及入侵檢測算法這四個方面展開研究和討論，并針對進程行為審計跡的語義特征提出了幾種高效的入侵檢測模型。
　　 本文所做的工作主要包括如下幾點內(nèi)容：
　　 (1)分析了系統(tǒng)調(diào)用作為入侵檢測數(shù)據(jù)源的缺陷，提出了在系統(tǒng)調(diào)用基礎上融合那些與之

2、相補充的Glibc基礎庫函數(shù)來組成入侵檢測數(shù)據(jù)源的方法，并設計了一套通用的、高可靠性的、可移植的審計跡采集框架模型。該框架模型所采集的審計跡除了內(nèi)核空間系統(tǒng)調(diào)用和用戶空間Glibc基礎庫函數(shù)調(diào)用之外，還包含進程在執(zhí)行時產(chǎn)生的大量審計信息(如時間屬性、屬主屬性、運行參數(shù)、返回值、進程堆棧信息等)，依據(jù)這些審計信息可以設計出更加高效、合理的入侵檢測算法。
　　 (2)針對由于入侵檢測系統(tǒng)正常行為模式庫規(guī)模過于龐大而造成實時性能差的問

3、題，提出了一種基于典型集的源數(shù)據(jù)降維技術。由于典型集的任何性質(zhì)對于全集都將以很大概率成立，反映了大樣本的平均行為。因此，通過使用典型集的方法對數(shù)據(jù)進行降維處理，在保證入侵檢測效果的前提下，不僅可以減少數(shù)據(jù)存儲量，緩解入侵檢測系統(tǒng)模塊之間的通信壓力，還可以減少入侵檢測系統(tǒng)的訓練時間，提高入侵檢測實時性能。
　　 (3)在基于定長短序列模式的入侵檢測方法中，短序列長度選擇對于入侵檢測效果影響很大，如何選擇合適的短序列長度也一直是一個

4、未解決的難題。本文提出了變長短序列語義模式的抽取方法，這種模式抽取方法，依據(jù)進程執(zhí)行過程中隱含的各個具有獨立語義子狀態(tài)，對審計跡進行變長模型短序列切分。由于進程執(zhí)行過程中產(chǎn)生的各個語義子狀態(tài)具有樹型層次依賴關系，因此，本文利用變長語義模式短序列和審計信息中的進程堆棧函數(shù)返回地址鏈構造了一種適合于入侵檢測的、非平衡樹型結(jié)構的層次隱馬爾科夫模型，這種層次隱馬爾科夫模型較傳統(tǒng)的隱馬氏模型更能反應出各個進程執(zhí)行子狀態(tài)之間的語義轉(zhuǎn)移關系，具有更好

5、的檢測效果。
　　 (4)針對隱馬爾科夫模型在表達狀態(tài)駐留時間上的不足之處，提出了一種面向進程執(zhí)行語義模式、帶狀態(tài)駐留時間的隱馬爾科夫入侵檢測模型。在該模型中利用狀態(tài)駐留時間分布來描述系統(tǒng)在某一狀態(tài)上的駐留時間，相比于傳統(tǒng)的隱馬爾科夫模型更符合進程的運行特征。在該模型的訓練階段，采用進程語義行為模式序列來構造馬氏模型的狀態(tài)集，從而降低了模型的狀態(tài)數(shù)以及算法的計算復雜度；在該模型的檢測階段，通過計算待測進程產(chǎn)生的定長審計跡短序列在