《工程硕士学位论文-基于系统调用的主机安全研究.doc》由会员分享,可在线阅读,更多相关《工程硕士学位论文-基于系统调用的主机安全研究.doc(69页珍藏版)》请在三一文库上搜索。
1、工程硕士学位论文基于系统调用的主机安全研究哈尔滨理工大学2009年5月国内图书分类号:TP391.1工程硕士学位论文基于系统调用的主机安全研究硕士研究生:导师: 申请学位级别:工程硕士学科、专业:计算机技术所在单位:计算机科学与技术学院答辩日期:2009年5月 授予学位单位:哈尔滨理工大学Classified Index:TP391.1Dissertation for the Master Degree in EngineeringStudy of Host Computer Security Based on System CallCandidate:Yan JiweiSupervisor:
2、Liu ChangzhengAcademic Degree Applied for:Master of EngineeringSpecialty:Computer TechnologyDate of Oral Examination:May,2009University:Harbin University of Science and Technology哈尔滨理工大学硕士学位论文原创性声明本人郑重声明:此处所提交的硕士学位论文基于系统调用的主机安全研究,是本人在导师指导下,在哈尔滨理工大学攻读硕士学位期间独立进行研究工作所取得的成果。据本人所知,论文中除已注明部分外不包含他人已发表或撰写过的
3、研究成果。对本文研究工作做出贡献的个人和集体,均已在文中以明确方式注明。本声明的法律结果将完全由本人承担。 作者签名: 日期: 年 月 日哈尔滨理工大学硕士学位论文使用授权书基于系统调用的主机安全研究系本人在哈尔滨理工大学攻读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔滨理工大学所有,本论文的研究内容不得以其他单位的名义发表。本人完全了解哈尔滨理工大学关于保存、使用学位论文的规定,同意学校保留并向有关部门提交论文和电子版本,允许论文被查阅和借阅。本人授权哈尔滨理工大学可以采用影印、缩印或其他复制手段保存论文,可以公布论文的全部或部分内容。本学位论文属于 保密 ,在 年解密
4、后适用授权书。 不保密 。(请在以上相应方框内打)作者签名: 日期: 年 月 日导师签名: 日期: 年 月 日哈尔滨理工大学工程硕士学位论文基于系统调用的主机安全研究摘要入侵检测技术是保护网络系统的重要手段之一,基于主机的入侵检测系统主要用于对重点主机实施防护,具有检测效率高和检测准确性高等优点。系统调用是外界进入系统的必经之路,是攻击者入侵系统的主要攻击目标,本文从异常检测和误用检测两个方面研究了基于系统调用的入侵检测方法,同时对基于免疫机理的入侵检测系统进行了详细介绍,最后对基于系统调用的入侵响应方面进行了探讨性研究。目前,系统调用序列已成为基于主机入侵检测系统重要的数据源,通过分析系统调
5、用序列来判断入侵事件具有准确性高、误报率低和稳定性好等优点。本文结合误用检测和异常检测技术首次提出一种基于系统调用的分级检测模型,异常检测部分使用一种针对系统调用序列的高效低负的检测方法,通过粗糙集理论分析进程正常运行时产生的系统调用序列,提取最简的预测规则模型。该方法建立正常模型需要的训练数据获取简单,生成的小规则集利于实时检测,能更有效的检测进程的异常运行状态。实验证明该方法的检测效率明显优于其他建模方法。其次本文对基于免疫机理的入侵检测模型进行了深讨,将生物免疫原理应用到入侵检测系统的设计与实现中以改进现有方法的不足。将肽链定义为在操作系统中由特权进程执行的系统调用短序列,提出一种新型的
6、入侵检测系统基于生物免疫学的入侵检测系统,该系统独创性的提出借助粗糙集理论解决免疫系统先验知识不足问题,加快免疫抗体的产生。由于计算机安全系统要解决的问题与免疫系统要解决的问题非常类似,所以将生物免疫学的原理和方法引入计算机安全领域的研究是非常有意义的。关键词计算机安全;入侵检测;免疫系统;粗糙集理论;系统调用序列 Study of Host Computer Security Based on System CallAbstractWith the development of Internet, peoples lives have more and more deeply depende
7、d on computer networks. And then Computer networks should become more and more secure. The technology of Intrusion Detection is one of the important measures to protect the networks. Host-based intrusion detection is used to protect the key hosts, and has better detection efficiency and detection ac
8、curacy. System calls are the main object of the intruders; they often attack our system from outside using system call. In this paper, Both anomaly and misuse detection methods for the abnormities based on system calls are brought forward, At the same time particularly introducing a intrusion detect
9、ion system based on immune mechanism, and some research results based on system calls are also described in the paper. At present, the system call sequences have already become one of the important data sources in host-based intrusion detection system. There are some merits which are high in accurac
10、y, low in false fault and good in stability and so on by using the system calls analysis to judge the intrusion. This paper combines the anomaly method with misuse method to put forward a classification detection model based on system call. Abnormal detecting uses a high-efficient and low-loading me
11、thod aiming at sequences. The method is based on Rough set theory and capable of extracting detection rules with the minimum size to form a normal behavior model from the record of sequences generated during the normal execution of process. Compared with other methods, the merits of using the Rough
12、set theory to create the normal model are as follows: it is simple to get the training data; the small rules set is suitable to real-time detection, and the process abnormal running state can be detected out effectively. Experiment results show that the efficiency of the method in this paper is obvi
13、ous higher than other methods. Later, through the research of current intrusion detection systems and biological immune system, an immunity based network intrusion detection model is discussed and analyzed in full detail from the view of robustness, extensibility, scalability, adaptability and effic
14、iency. thus the model indicates ways in which we can improve our existing intrusion detection systems. That is applying biological principles, architectures, and algorithms extracted from immune system to the design and implement of intrusion detection systems. According to the immunology principles
15、 of bionics, a new type of intrusion detection system-Immunology based Intrusion Detection System is presented. In this paper short sequences of system calls that executed by privileged procedure are viewed as analogous to peptide. Because the problem faced in computer system is similar with immune
16、system: immune system protect body from the harm from antigen and the computer security system protect computer form intrusion, thus, it is more significant to put the methods and principles of biology immune into the fields of computer safety system. Keywords computer security, intrusion detection,
17、 immune system, rough set theory, system call sequences目 录不要删除行尾的分节符,此行不会被打印IV- -哈尔滨理工大学工程硕士学位论文目 录46- -摘要IAbstractII第1章 绪论11.1 论文的研究背景11.2 入侵检测系统概述31.2.1 入侵检测方法介绍31.2.2 入侵检测系统面临的挑战和不足41.2.3 下一代入侵检测系统的要求51.2.4 入侵检测系统未来发展方向61.3 挖掘技术应用于入侵检测中的意义71.4 本文研究内容8第2章 基于系统调用的安全检测技术92.1 特权进程监控92.2 基于规则检测方法92.3
18、基于系统调用序列的分析方法102.3.1 隐马尔可夫模型112.3.2 基于神经网络的机器学习方法112.3.3 分类分析方法112.3.4 基于关联规则分析方法122.3.5 系统调用序列与参数信息相结合的分析方法132.3.6 基于粗糙集理论分析方法132.3.7 基于系统调用序列检测的通用模型142.4 本章小结14第3章 基于系统调用的入侵检测设计与实现153.1 基于系统调用主机入侵检测系统框架153.2 基于系统调用入侵检测传感器的设计与实现163.2.1 Linux操作系统的系统调用机制163.2.2 Linux系统调用截取机制163.2.3 系统调用传感器性能需求与性能评价21
19、3.3 基于系统调用入侵检测分析引擎的设计与实现213.3.1 分析引擎系统结构213.3.2 一级分析引擎的设计与实现223.3.3 基于粗糙集理论入侵检测系统的特点283.3.4 二三级分析引擎的设计与实现293.4 本章小结30第4章 基于系统调用序列的计算机免疫系统314.1 计算机免疫系统314.1.1 生物免疫原理及特点314.1.2 计算机免疫系统研究现状324.2 基于免疫机理的入侵检测系统334.2.1 基于免疫机理的入侵检测系统介绍334.2.2 基于免疫机理的入侵检测系统设计344.3 方法特点394.4 本章小结40第5章 基于系统调用的安全响应策略 415.1 安全响
20、应的种类415.1.1 主动响应415.1.2 被动响应435.2 基于系统调用安全响应设计435.2.1 强制结束非法进程435.2.2 进一步截获信息进行检测445.2.3 延迟系统调用执行455.2.4 记入系统日志455.3 本章小结45结 论46参考文献47个人简历51致 谢52第1章 绪论1.1 论文的研究背景随着计算机网络的不断发展,全球信息化成为人类发展的大趋势,信息网络已经深入到社会的各个领域,给人们的日常生活带来了全新的感受,人类社会活动对它的依赖越来越大,已经成为社会发展的重要保证。近年来,网络上各种新业务的兴起,如网络银行、电子钱包和电子商务的快速发展,使得网络信息与人
21、类的日常生活密不可分。然而,人们在得益于信息革命所带来的新的巨大机遇的同时,也不得不面临信息安全问题的巨大考验。从 1988 年著名的“Internet蠕虫事件”到最近黑客利用分布式拒绝服务方法攻击大型网站,导致网络服务瘫痪等事件的发生,使各国、各部门、各个行业以及每一个计算机用户都已经开始充分重视信息网络的安全问题。计算机网络安全问题主要涉及到国家的政府、军事、文教,以及企业、个人等诸多领域。这些领域在存贮、传输和处理的信息时,会涉及到许多重要的机密的信息,为了确保这些重要信息不受黑客、恶意软件和其他不轨行动的攻击。因此,加大计算机网络安全的研究势在必行。计算机网络安全,它是一门涉及到计算机
22、科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。目前网络安全技术存在许多种,如口令认证、防火墙、数据加密、VPN 技术、入侵检测等。我们通常所说的网络安全是指狭义的系统安全,它包括计算机主机系统和网络上的主机、网络设备和某些终端设备的安全问题,主要针对系统的攻击、侦听、欺骗等非法手段进行防护。其中心目标是:(1)保密性(Confidentiality):确保数据只被授权用户访问,防止非授权用户截获并使用该数据,保证通信机密。政府部门和银行系统在计算机安全领域做的大部分工作都集中于机密性。(2)完整性(Integrity):确保数据在网络传输过程中
23、不被非授权篡改。完整性对于处理如医疗记录和金融账户等数据的系统特别关键。(3)有效性(Availability):确保信息和系统资源能够及时响应授权用户的访问需求,即授权用户能在他们需要时,以系统安全策略允许的方式访问资源。同时,网络安全目标还包括验证(Authentication)、认可(Nonrepudiation)和访问控制。验证是发送、接受表示一致性的过程,确保信息的真实性。认可是证明信息是从发送方发出的而非来自其他地方的过程,以免用户抵赖其行为或否认曾受到信息。访问控制通过参数设置限定网络的存取访问权限。除此之外,保护硬件资源不被非法占有,软件资源免受病毒的侵害,都构成整个计算机网络
24、的安全目标。90年代末,美国国际互联网安全系统公司(ISS)提出了自适应网络安全模型ANSM(Adaptive Network Security Model)亦称为P2DR(Policy Protection Detection Response:策略、防护、检测、反应),它已经成为目前国际上较实际并可知道信息系统安全建设和安全运营的安全模型框架。P2DR是指一个完整的信息安全架构应该以安全策略为中心通过防护、响应、检测动态结合,达到保障信息安全的目的1,2。策略是这个模型的核心,在具体的实施过程中,策略意味着网络安全要求达到的目标,它决定了各种措施的强度。因为追求安全是要付出代价的,一般会牺
25、牲用户使用的舒适度,还有整个网络系统的运行性能,因此策略的制订要按照需要进行。防护是安全的第一步,具体包括:安全规章的制定;系统的安全配置;安全措施的采用。检测是对网络运行监控的有效手段。防护相对于攻击来说总是滞后的,一种漏洞的发现或者攻击手段的发明与相应的防护手段的采用之间总会有一个时间差,检测就是弥补这个时间差的必要手段。相应是在攻击企图或者攻击之后,系统及时进行反应。这包括:报告、记录、阻止和恢复等一系列措施。网络安全领域包含了相当多的研究方向,回顾网络安全的研究热点,其发展基本上经历了下面几个环节:(1)防火强技术的研究;(2)虚拟专用网技术的研究;(3)认证/PKI、加密技术的研究;
26、(4)入侵检测技术的研究;目前防火墙技术等已经发展的比较成熟,它能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤信息的目的,防火墙配置的多样性和防护的有效性使它成为网络安全防线的中流砥柱。然而任何一种单一的安全技术都并非万能,而且随着攻击者经验日趋丰富,攻击工具与手法的日趋复杂多样,传统单一的安全技术和策略已经无法满足对安全高度敏感的部门的需要。因此,网络安全的防卫必须采用一种纵深的、多样的手段,形成一个多层次的防护体系,不再是单一的安全技术和安全策略,而是多种技术的融合,关键是各种安全技术能够起到相互补充的作用,这样,即使当某一种措
27、施失去效能时,其他的安全措施也能予以弥补。传统的安全技术虽然取得了很大的成效,但是它也存在一些固有的缺陷,比如访问控制可以拒绝未授权用户的访问,却并不能防止已授权访问用户获取系统中未授权信息;防火墙可以将危险挡在外面,却无法挡住内部的入侵。从网络安全的角度看,公司的内部系统被入侵、破坏与泄密是一个严重的问题,以及由此引出的更多有关网络安全的问题都应该引起重视。据统计,全球80%以上的入侵来自于内部。因此,传统的安全技术更多的是一种基于被动的防护,而如今的攻击和入侵要求我们主动地去检测、发现和排除安全隐患,正是在这样的环境下,入侵检测系统开始崭露头角,成为了安全市场上和研究上新的热点,不仅愈来愈
28、多的受到人们的关注,而且已经开始在各种不同的环境中发挥越来越重要的作。1.2 入侵检测系统概述早在20 世纪80 年代初期,Anderson 将入侵定义为:未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用3。Heady 认为入侵是指试图破坏资源的完整性、机密性及可用性的行为集合。Smaha 从分类角度指出5:入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。卡内基梅隆大学的研究人员将入侵定义为非法进入信息系统,包括违反信息系统的安全策略或法律保护条例的动作6。笔者认为,入侵的定义应与受害目标相关联,该受害目标可以是一个大的系统或单个对象。判断与目标相关
29、的操作是入侵的依据是:对目标的操作超出了目标的安全策略范围。因此,入侵系指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统,简称IDS。最早的入侵检测模型是由Denning7给出的,该模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异发现系统的入侵行为。同时随着入侵行为的种类不断增多,涉及的范围不断扩大,而且许多攻击是经过长时期准备,通过网上协作进行的。面对这种情况,入侵检测系统的不同功能组件之间、不同IDS 之间共享这类攻击信息是十分重要的。
30、为此,Chen 等提出一种通用的入侵检测框架模型(Common Intrusion Detection Framework),简称CIDF8。1.2.1 入侵检测方法介绍IDS 根据所使用检测方法的不同分为异常检测(Anomaly Detection) 和误用检测(Misuse Detection) 两种。二者区别点为被定义的事件集合范围,误用检测根据所定义的什么是异常事件,而其余为正常事件进行检测,其优点是误报率低、实现效率高,但无法检测出未知的攻击。大部分的误用检测都采用基于规则的检测方法,需要不断地向检测规则集内添加新的入侵检测规则。异常检测根据所定义的什么是正常事件,与之不相符的都是异
31、常事件进行检测,其主要优点是能够检测出未知的攻击,大部分的异常检测采用基于由统计和挖掘等方式获得的特征文件(profile) 的检测,系统具有自学习的特点。在实际中多为二者结合使用。异常入侵检测:1. 基于统计模型(Statistical Models)的异常入侵检测9; l 基于阈值值测量(Operational Model)的检测(也称试验模型);l 基于平均值和标准偏差模型(Mean and Standard Detection Model)的检测;l 基于多变量模型(Multivariable Model)的检测;l 基于马尔柯夫进程模型(Markov Process Model)的检
32、测;l 基于聚类分析(Clustering Analysis)的检测;2. 基于神经网络(Neural Network)的异常入侵检测;3. 基于免疫系统(Immune System)的异常入侵检测;4. 基于文件检查(File Checking)的异常入侵检测;5. 基于污染检查(Taint Checking)的异常入侵检测;6. 基于协议认证(Protocol Verification)的异常入侵检测;7. 基于筛选(Whitelisting)的异常入侵检测;8. 其它入侵检测技术如贝叶斯网络、机器学习的异常检测;9. 基于数据挖掘技术的入侵检测;误用入侵检测:1. 基于表达式匹配(Exp
33、ression Matching)的误用入侵检测;2. 基于状态转移分析(State Transition Analysis)的误用入侵检测;3. 基于专家系统(Expert System)的误用入侵检测;4. 基于击键监控(Keystroke Monitoring)的误用入侵检测;5. 基于遗传算法(Genetic Algorithm)的误用入侵检测;6. 基于专用语言(Dedicated Languages)的误用入侵检测;7. 其它例如Petri网状态转换、批模式分析的误用检测技术;1.2.2 入侵检测系统面临的挑战和不足目前的入侵检测系统与理想还有非常大的差距。产生差距的原因在于:1.
34、 入侵检测的基础并非严格的理论证明,而是依赖于已有的经验。2. 尽管上面列举了很多用于入侵检测的方法,但是如何将这些方法成熟地用于入侵检测是一个很大地挑战。目前入侵检测系统面临巨大的挑战,主要表现在:1. 入侵或攻击的综合化与复杂化。由于网络防范技术的多重化,攻击的难度增加,使得入侵者在实施入侵或攻击时往往同时采取多种入侵手段,以保证入侵成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。2. 入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。通过一定的技术,可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后,对于被攻击对象攻击的主体是无法直接确定的。3. 入侵或攻击的规模扩大。对于
35、网络的入侵与攻击,在其初期往往是针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。4. 入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无
36、差异,所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。5. 攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。现已有专门针对MS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加以攻击。6. 大量的误报和漏报使得发现问题的真正所在非常困难。采用当前的技术及模型,完美的入侵检测系统是无法实现的。文献62中提到了若干种逃避IDS检测的办法,这种现象存在的主要原因是:IDS必须清楚地了解所有操作系统网络协议的运作情况,甚至细节,才能准确地进行分析
37、,否则62中提到的insertion evasion的问题便无法解决。而不同操作系统之间,甚至同一操作系统的不同版本之间对协议处理的细节均有所不同。而力求全面则必然违背IDS高效工作的原则。 1.2.3 下一代入侵检测系统的要求由上可知,现有的入侵检测系统面临着巨大的挑战,传统的方法无法应对这种挑战,急需下一代入侵检侧技术的出现。伦敦大学的J.Kim和P.Bentley认为新一代入侵检测系统必须满足以下要求62,63:1分布式(distributed)第一个设计目标是分布式。基于网络的分布式IDS将其职责委派给大量分布式组件。许多独立的入侵检测进程只监控整个系统的一小部分。它们同时运行并相互协
38、作。如果基于网络的入侵检侧系统是分布式的,就很好地满足了以下需求:(1)鲁棒性:检测系统有多个检测点,足以对抗攻击以及IDS的任何差错64, 65。一个入侵检侧进程失效不会使整个IDS崩溃,虽然有可能导致整个IDS的检侧精度有很小的降低。(2)可配置性:系统能够容易地根据网络或计算机的不同需求进行配置66。因为不同的网络组件,例如路由器、DNS、防火墙以及其他各种不同的网络服务可能有不同的安全需求。(3)可扩展性:很容易扩展IDS监控的网络规摸,很容易地添加新的主机而不用考虑其操作系统如何64,66。因为不同的操作系统的审计数据格式可能不一样,因此IDS以原来的监控方式监控新的主机可能导致错误
39、的结果。2自组织性(self-organizing)第二个设计目标是自组织性。因为没有拥有预先定义信息的中心控制器,自组织的网络IDS自动学习事先未知的入侵特征,自组织性可以通过改变网络环境、安全策略和其他入侵检测进程并通过它们之间的相互作用来达到。如果网络IDS具有自组织性,就很好地满足下列要求:(1)自适应性:IDS应该能够随着网络环境的变化而动态自我调整,以检测动态变化的网络入侵64,66。(2)全局分析:为了检测网络入浸,IDS应该全面监控不同主机产生的事件,并确认这些事件之间的关联41。许多网络入侵通常利用网络的多个点,对于一个独立主机,入侵也许不过是一个普通的错误,但是如果综合考虑
40、多个点上的事件,就会发现是一个攻击企图。3轻量级(light-weight)第三个设计目标是轻量级。轻量级的网络IDS不会给系统造成过大的负担。如果网络IDS是轻量级的,这很好地满足:效率:IDS应该足够简单和轻量级以便给监控的主机和网络带来最小的负担10,64,66。因为IDS要执行监控、数据收集、数据分析和决策等多项工作,会给系统造成极大的负担,导致系统和网络的性能极大降低。虽然提出过多种不同的方法64.67,但现在的基于主机的入侵检测系统都没有很好达到这个要求。1.2.4 入侵检测系统未来发展方向纵观IDS历史与现状,入侵检测的在以下几个方向将会有长足的发展:(1)入侵检测系统的标准化目
41、前入侵检测系统还缺乏相应的标准,不同IDS之间的数据交换和信息通信几乎不可能。DARPA和IETF的入侵检测工作组试图对IDS进行标准化工作,分别制定了CIDF和IDMEF标准,从体系结构、通信机制、消息格式等各方面对IDS规范化,但进展非常缓慢,尚没有被广泛接受的标准出台。因此,具有标准化接口的入侵监测系统的将是下一代入侵监测系统的特征。 (2)分布式入侵检测与通用入侵检测架构传统的IDS局限于单一的主机或网络架构,对异构系统及大规模的网络检测明显不足,不同的IDS系统之间不能协同工作。为解决这一问题,需要发展分布式入侵检测技术与通用入侵检测架构。(3)应用层入侵检测 许多入侵的语义只在应用
42、层才能理解,而目前的IDS仅能检测如Web之类的通用协议,不能处理如Lotus Notes、数据库系统等其他的应用系统。 (4)智能的入侵检测 智能化入侵检测:即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也己有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有
43、智能检测功能的检测软件或模块的结合使用。(5)入侵检测系统的评测方法 面对功能越来越复杂的IDS,用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用和IDS系统自身的可靠性。从而设计通用的入侵检测测试与评估方法与平台,实现对多种IDS系统的检测已成为当前IDS应用的另一重要研究与发展领域。(6)与其他网络安全技术相结合在入侵检测早期发展中,它常被当作是一种独立的技术,但现在入侵检测系统和网络管理的综合使用变得越来越必要了。单一的技术很难构筑一道强有力的安全防线,这就需要和其他安全技术共同组成更完备的安全保障系统,如结合防火墙、PKIX、安全电子交易SET等新的网络安全与
44、电子商务技术,提供完整的网络安全保障。1.3 挖掘技术应用于入侵检测中的意义黑客的攻击一般都和大量正常的网络通信混合在一起,如果对所有的审计信息都进行全面的检查将是十分低效的。因此,应该有高效的过程排除噪音,从而更好地研究现有黑客的攻击方式,归纳出有扩展性和适应性的通用规则模式。数据挖掘是一种特定应用的数据分析过程,可以从包含大量冗余信息的数据中提取出尽可能多的隐藏知识,即一种从存储的大量数据中识别出有效的、新颖的、具有潜在用途及最终可以理解模式的高级处理过程59。数据挖掘的优势在于它能从大量数据中提取人们感兴趣的、事先未知的知识和规律,而不依靠经验。入侵检测中的数据挖掘是一个脱机知识创建过程
45、,以前收集到的大量数据集合被过滤、转换和组织成信息集合,用以发现海量数据中隐藏的、以前未被发现的特征模式。利用数据挖掘技术对入侵检测中的海量安全审计数据进行智能化处理,可以抽象出有利于进行判断和比较的特征模型,这种特征模型可以是基于误用检测的特征向量,也可以是基于异常检测的行为描述模型。使用数据挖掘技术进行入侵检测因为基于数据挖掘的入侵检测智能性好,自动化程度高,检测效率高,且自适应能力强。(1)首先,数据挖掘所能处理的数据规模十分巨大,它能够自动从海量数据中提取人类肉眼难以发现的网络行为模式,从而减少了人工参与,减轻了入侵检测分析员的负担,同时也提高了检测的准确性。(2)数据挖掘可以自动地对
46、数据进行预处理,抽取数据中的有用部分,有效地减少数据处理量,因而检测效率较高。(3)数据挖掘技术可帮助用户寻找其可能感兴趣的东西,而不需要用户形成精确的查询要求。(4)数据挖掘对数据的迅速变化可做出快速响应,提供决策支持信息。(5)数据挖掘既可发现潜在的规则,还可管理和维护规则,并随着新数据的不断加入,随之更新规则,能够有效地检测出新型攻击以及已知攻击的变种。入侵检测中的数据挖掘的目标可以概括为:数据处理、预测、分类、关联分析、模型可视化等60。对采集到的数据进行数据挖掘,目的在于从海量数据中提取出人类肉眼难以发现的正常或异常行为模式。数据挖掘方法很多,主要有:统计方法、基于事例的推理、神经网
47、络、决策树、规则推理、贝叶斯信念网络、遗传算法/演化程序设计、模糊集、粗糙集60,本文采用粗糙集算法来实现用于入侵检测的知识的挖掘。1.4 本文研究内容本文以免疫系统为依托,对基于系统调用的主机入侵检测系统的设计思想、实现方案和性能进行了详细论述,以软件实现方法为着手点提出可行的基于系统调用的主机安全解决方案。第一章介绍了课题背景和意义,介绍了网络安全模型和计算机免疫系统的基本知识,总结了入侵检测的研究历史和未来入侵检测技术的发展放法,对比了各种入侵检测方法特点,最后概述了论文工作的主要研究内容。第二章对当前国际上基于系统调用的系统级入侵检测技术进行了总结,对主要的分析方法特别是数据挖掘技术进行了详细讨论和分析,最后总结设计一个基于系统调用入侵检测的通用模型。第三章设计了一个基于系统调用的分级入侵检测框架,介绍了系统调用收集引擎和分析引擎的