文档介绍:天津大学硕士论文
基于系统调用序列的状态转换检测新方法
The New Method of
the State-transition Detection Based on
Sequences of System Calls
学科专业:管理科学与工程
研 究 生:李凌楠
指导教师:岳兵 副教授
天津大学管理学院
二零零六年一月
独创性声明
本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的
研究成果,除了文中特别加以标注和致谢之处外,论文中不包含其他人已经发表
或撰写过的研究成果,也不包含为获得 天津大学 或其他教育机构的学位或证
书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中
作了明确的说明并表示了谢意。
学位论文作者签名: 签字日期: 年 月 日
学位论文版权使用授权书
本学位论文作者完全了解 天津大学 有关保留、使用学位论文的规定。
特授权 天津大学 可以将学位论文的全部或部分内容编入有关数据库进行检
索,并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校
向国家有关部门或机构送交论文的复印件和磁盘。
(保密的学位论文在解密后适用本授权说明)
学位论文作者签名: 导师签名:
签字日期: 年 月 日 签字日期: 年 月 日
中文摘要
随着计算机技术和网络技术的迅速发展,计算机系统已经从独立的主机发展
到复杂的、互联的开放式系统,计算机安全和网络安全的重要性显得越来越突出。
作为安全模型的核心技术之一的入侵检测技术已是安全研究的重要领域,它检测
和识别针对计算机系统和网络系统的非法攻击或违反安全策略的行为。
我们以系统调用为数据源,针对当前基于系统调用的入侵检测方法研究的不
足——短序列法只能保留同一短序列内的系统调用的时序关系,而状态转换法能
完整保留系统调用间的长距离时序信息,但不适应处理系统调用这样大批量的信
息,且不能检测未知类型攻击产生的系统调用序列。在以往研究的基础上,提出
将状态转换方法加入统计方法来协助分析。由于系统正常运行时产生的系统调用
序列存在一些比较固定的模式,大多数统计方法都能抓住这个特性,且统计方法
最大的优点是有很高的效率和可用性。本文所采用的多元统计方法更能反映时序
性,即系统调用间前后的相关性,使用霍特林统计方法根据系统调用的功能和危
险程度的分类情况来量化缩小检测范围、加快速度。状态转换检测为了结合多元
统计计算的异常度,对系统状态的基本空间的定义和转换规则做出多个改进,包
括增加直接和间接转换,并累计计算异常程度来判断入侵行为的发生。
设计并实现了该模型的原型系统,给出数据源、规则定义以及问题描述。根
据两组训练数据和两组系统调用分类来对比实验结果,进行结果分析和性能的评
价。测试表明该模型由于对异常行为和高威胁度行为的统计量分析和处理,提高
了检测的速度和效率,同时实现了基于统计方法的异常入侵检测和基于状态检测
的误用入侵检测多技术、多方法综合检测,弥补了单一检测方法的不足。
关键词: 入侵检测 系统调用 状态转换分析 多元统计分析
ABSTRACT
With the rapid development of computer and network technologies, c