文档介绍：国防科学技术大学
硕士学位论文
基于程序行为分析的入侵检测系统的设计与实现
姓名:朱国强
申请学位级别:硕士
专业:计算机科学与技术
指导教师:刘真
20051101
摘要本文从介绍信息安全的背景,安全威胁根源及安全研究的重点出发,对当今的入侵检测技术及研究现状进行了详尽的分析,指出了其不足之处:传统的误用检测技术检测率不高,无法检测出未知的攻击手段,而传统的异常检测技术则存在误检率过高的问题。基于以上问题,本文提出了基于程序行为分析的入侵检测技术。基于程序行为分析的入侵检测系统采用了诤四?技术来实现,它通过修改中断向量表来截获系统调用,生成由短系统调用序列串构成的程序行为库。同时对每个系统调用的参数进行分析,生成参数长度模型,参数字符特征分布模型及特殊系统调用参数基于规则的模型。这样通过从系统调用短序列串和参数模型两方面来对程序行为进行精确分析,能够有效地规范程序行为,及时发现出现的程序行为异常,检测并阻断入侵的发生。实验证明此方法具有检测率高,误报率小并能检测出未知攻击的特点。最后本文还对此入侵检测系统值得改进的地方进行了探讨。关键词:系统调用短序列串,程序行为库,系统调用参数,参数模型,入侵检测国防科学技术人学研究生院学位沧文
゜,国防科学技术人学研究生院。学位论文甀甀癮竌癳痫蜻趕,行,,瑃’.絤縪瑆鴖琫矗..韙裮阨辭騦瓺瑂簊“.
图薷闹卸舷蛄勘砗蠼鼗窈谀诤嗽诵辛鞒掏肌图目录图系统调用执行流程图.............⋯....图截获后系统调用执行顺序图............................⋯⋯.....⋯⋯图系统调用逻辑流程图⋯⋯⋯⋯⋯⋯⋯⋯⋯...⋯⋯............⋯图进程被后内核执行顺序图....................⋯⋯⋯⋯..⋯⋯.图中断描述符结构图⋯⋯⋯⋯⋯⋯⋯⋯...................⋯⋯.⋯图中断机制流程图.⋯...⋯⋯⋯⋯⋯⋯⋯.⋯.......⋯.⋯..⋯....图中断描述符寄存器结构图..⋯...⋯....................................图中断服务程序堆栈示意图⋯⋯⋯⋯⋯⋯⋯.⋯⋯⋯⋯⋯..⋯.....图修改中断向量表的模块代码执行流程图⋯⋯⋯⋯⋯⋯⋯⋯........⋯图系统调用序列以树状存放示意图⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.⋯⋯⋯............................⋯⋯.图不同窗口长度下模式库大小的增长趋势图⋯⋯.⋯..⋯⋯...⋯....⋯..图模式库大小随窗口大小及打印任务多少的变化示意图................⋯⋯.图系统调用序列的局部稳定性示意图⋯⋯⋯⋯⋯⋯⋯⋯...............程序的数据库大小随系统调用个数增长图............⋯...⋯⋯图在缓冲区中畛涫疽馔肌图入侵判断流程示意图.....⋯.⋯⋯..⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯....图在不同阀值条件下系统检测程序的误报率变化示意图⋯⋯..⋯.⋯.图参数模型检测流程图⋯⋯⋯..⋯...⋯⋯...⋯.⋯.⋯⋯⋯⋯.⋯.图基于程序行为分析的入侵检测系统总体结构图在不同阀值条件下系统检测程序的漏报率变化示意图................图国防科学技术大学研究生院学位论文
表目录掷嗥饔胛谋痉掷嗟南嗨菩员怼表当时,琭恼P形?獯笮∫焕辣怼时产生的数据库表.⋯⋯.⋯⋯⋯⋯.......⋯......时新增的数据库表⋯⋯....⋯.....⋯⋯⋯⋯⋯...表应对其参数作特殊分析的系统调用一览表⋯⋯.....⋯.⋯⋯.表未引入参数模型时测试结果一览表..⋯⋯⋯........⋯......表引入参数模型后测试结果一览表....⋯.....⋯⋯...⋯.⋯..辈糠殖绦蛴雜南低车饔枚绦蛄写冉辖峁表国防科学技术人学研究生院学位论文.,
虏枣伯朱朱国强独创性声明学位论文版权使用授权书日瓤缈彳年』耭基王蕉压堑盘佥盘鳗厶堡撞型歪蕴啦遮进皇塞望基±猩庄红盘金堑煎厶堡揸型丞箕塑遮盐堑篷婴加口歹年/。月/已日本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表和撰写过的研究成果,也不包含为获得国防科学技术大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。学位论文题目:学位论文作者签名本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本八授权国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档,允许论文被查阅和借阅;可以将学位论文的全部或部分内容编入有关数据库进行检索,