返回
基于linux安全模块的程序行为异常检测研究

基于linux安全模块的程序行为异常检测研究

ID:21920809

大小:2.83 MB

页数:87页

时间:2018-10-25

基于linux安全模块的程序行为异常检测研究_第1页
基于linux安全模块的程序行为异常检测研究_第2页
基于linux安全模块的程序行为异常检测研究_第3页
基于linux安全模块的程序行为异常检测研究_第4页
基于linux安全模块的程序行为异常检测研究_第5页
资源描述:

《基于linux安全模块的程序行为异常检测研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、华中科技大学硕士学位论文基于Linux安全模块的程序行为异常检测研究姓名:凌生龙申请学位级别:硕士专业:信息安全指导教师:崔国华20080606华中科技大学硕士学位论文摘要由于计算机安全问题越来越突出,入侵检测已成为重要的研究方向,其中异常检测由于其能检测到未知的攻击,已成为研究的重点。目前基于主机的程序行为异常检测的研究多集中在以系统调用作为数据源建立模型进行行为鉴别的基础上。在分析各种异常检测方法的基础上设计了一种采用在Linux内核2.6.9开始支持的LSM(Linux安全模块)数据作为数据源,针对这些数据建立隐马尔可夫模型进行异常检测的方法。由于LSM专为Linux

2、安全性而设计,其数据提取点位于系统调用或内核函数内,分析表明LSM数据与系统调用相比提供的信息更详细,更与安全相关。在此基础上详细研究了如何针对应用程序从Linux系统内核提取其LSM序列,以及如何对数据预处理。分析了如何对截获的LSM序列进行检测前的离线训练以得到隐马尔可夫模型参数,采用了一种新的检测算法对被监控程序的LSM序列进行实时的异常检测。为了验证LSM数据源的有效性和检测效果,设计并实现了一种Linux平台下提取被监控程序LSM数据来建立隐马尔可夫模型的异常检测原型系统HIDS。HIDS实现中采用了netlink等技术,主要包含四个模块:工作在内核空间的LSM监

3、控模块、内核和用户空间通讯模块、工作在用户空间的HMM事件分析模块、检测记录与响应模块。对HIDS进行了负荷性能测试、训练实验和模拟攻击实验。实验结果表明:LSM作为异常检测的数据源是有效的,对Linux平台下的LSM数据建立隐马尔可夫模型进行异常检测的方法可行,并能取得很好的检测效果。关键词:异常检测,Linux安全模块,隐马尔可夫模型,程序行为控制I华中科技大学硕士学位论文AbstractDuetotheprevailingofcomputersecurityproblem,intrusiondetectionhasbeen recognizedasanimportan

4、tdirectionofresearch.Especiallyanomalydetection,which hasthecapabilitytodetectunknownattacks,hasbeenpaidmoreandmoreattentionto. Theexistingapproachestohost-basedanomalydetectionmainlyfocusonutilizing systemcallsasdatasourceandthenmodeling.Onthebasisofanalysistovariousanomalydetectionmethod

5、s,anewapproach, whichadoptstheLinuxkernel2.6.9supportedLSM(LinuxSecurityModule)dataas datasource,andthenbuildsaHiddenMarkovmodeltodetectintrusion,isdesigned. BecauseLSMisspeciallydesignedforLinuxsecurity;itsdataextractpointsarelocated insystemcallsorkernelfunctions,analysisshowsthatLSMdata

6、providesmoredetailed informationthansystemcalls,andhavemoreinformationaboutsecurity.Howtoextract LSMsequencefromapplicationprogramsandthenpre-processiswellresearched;and howtotrainthecapturedLSMsequencesbeforedetectionforconstructingHidden Markovmodelisanalyzed.Anewdetectionalgorithmisused

7、todetectthemonitored program’sLSMsequencesreal-time.ForthepurposeofvalidatingLSMdatasourceand thedetectability,ananomalydetectionprototypesystem-HIDS,whichextractsLSM datafromthemonitoredprogramandthenconstructsHiddenMarkovmodel,isdesigned andrealized.TheHIDSs

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。