文档介绍:华中科技大学
硕士学位论文
基于系统调用的文件系统入侵检测的设计与实现
姓名:张航
申请学位级别:硕士
专业:计算机系统结构
指导教师:冯丹
20090525
分类号学号 M200771872
学校代码 10487 密级
硕士学位论文
基于系统调用的文件系统入侵检测
的设计与实现
学位申请人: 张航
学科专业: 计算机系统结构
指导教师: 冯丹教授
答辩日期: 2009 年 5 月 25 日
A Thesis Submitted in Partial Fulfillment of the Requirements
for the Degree of Master of Engineering
Design and Implementation of File System
IDS Based on System Call
Candidate : Zhang Hang
Major : Computer Architecture
Supervisor: Prof. Dan Feng
Huazhong University of Science and Technology
Wuhan , Hubei 430074 , P. R. China
May , 2009
独创性声明
本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得
的研究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他
个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集
体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。
学位论文作者签名:
日期: 年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权
保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检
索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
保密□, 在年解密后适用本授权书。
本论文属于
不保密□。
(请在以上方框内打“√”)
学位论文作者签名: 指导教师签名:
日期: 年月日日期: 年月日
华中科技大学硕士学位论文
摘要∗
随着信息技术的飞速发展,各种病毒、木马和黑客的攻击越来越频繁。文件系
统作为存储系统的核心,其安全性至关重要。系统调用作为内核和用户间的功能接
口,大部分对文件系统的操作都要通过它来执行,其执行序列可以反映出文件系统
的操作情况。
鉴于当前主流的入侵检测工具均没有为文件系统提供细粒度的入侵检测,从而
给出了基于系统调用的文件系统入侵检测原型系统的设计与实现。
入侵检测原型系统分为入侵数据收集和入侵数据分析两部分。入侵数据收集部
分设计实现了一个系统调用日志系统来收集系统调用信息。选用了对文件系统威胁
最大的 15 个系统调用作为监控对象,采用在内核中建立系统调用钩子函数的方法实
现对系统调用的截获,link 套接字实现内核和用户空间的数据交换。入侵数
据分析部分基于一个开源的入侵检测框架实现了日志信息读取器、解码器和分析器。
日志读取器针对系统调用信息的存储格式独立设计实现。日志解码器使用入侵检测
框架的解码功能接口,创建了多层次的解码器结构。日志分析器采用时序序列匹配
算法作为入侵检测算法,并实现了邮件告警的入侵响应措施。
收集了当前流行的入侵脚本,对原型系统和 Linux 主机入侵检测系统 LIDS 进行
对比测试,验证了原形系统的有效性。通过对比分析,证实了原型系统为文件系统
提供了一个细粒度的入侵检测。根据典型的应用案例,设计了负载测试,证实了入
侵检测原型系统所产生的额外负载在可接受的范围内。
关键词: 入侵检测,系统调用,日志分析
∗本文的研究工作受国家重点基础研究发展计划(973 计划)资助项目(2004CB318201),国家自然
科学基金(60703046,60873028)资助。
I
华中科技大学硕士学位论文
Abstract∗
With the rapid development of information technology, various viruses, Trojans and
hacke