欢迎来到天天文库
浏览记录
ID:33298177
大小:1.27 MB
页数:69页
时间:2019-02-23
《基于linux进程行为的入侵检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、电子科技大学UNIVERSITYOFELECTRONICSCIENCEANDTECHNOLOGYOFCHINA硕士学位论文MASTERTHESIS论文题目基于Linux进程行为的入侵检测技术研究学科专业计算机系统结构学号201121060210作者姓名杨洋指导教师李毅教授分类号密级注1UDC学位论文基于Linux进程行为的入侵检测技术研究(题名和副题名)杨洋(作者姓名)指导教师李毅教授电子科技大学成都(姓名、职称、单位名称)申请学位级别工学硕士学科专业计算机系统结构提交论文日期2014.03.27论文答辩
2、日期2014.05.12学位授予单位和日期电子科技大学2014年06月29日答辩委员会主席评阅人注1:注明《国际十进分类法UDC》的类号。RESEARCHONINTRUSIONDETECTIONBASEDONLINUXPROCESSBEHAVIORSMasterThesisSubmittedtoUniversityofElectronicScienceandTechnologyofChinaMajor:ComputerSystemsOrganizationAuthor:YangYangAdvisor:Pr
3、of.LiYiSchool:SchoolofComputerScience&Engineering独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。作者签名:日期:年月日论文使用授权本学位论文作者完全了解电子科技大学有关保留、使用学位论文
4、的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。(保密的学位论文在解密后应遵守此规定)作者签名:导师签名:日期:年月日摘要摘要随着各种网络安全问题的频频发生,入侵检测能够积极主动的防御各种攻击而逐渐成为安全研究领域的热点。由于入侵者在攻击系统时大都采用的是攻击特权进程的方式,特权进程完成某些特定的行为,因此在其正常执行时的行为轨迹相对稳定,一旦
5、发生入侵就很容易捕捉到。在此基础上,本文提出了基于Linux进程行为的入侵检测,通过监控Linux系统中的某些特权进程对主机实施安全防护,经过实验证明该方法对针对主机的入侵活动具有较好的检测效果。训练数据的收集以及建模方法的选择是决定入侵检测效率的两个重要因素。首先是训练数据的收集,我们分析了由于攻击可能造成的正常行为和入侵行为之间的差异,提出利用系统调用序列作为入侵检测的数据源。利用可加载内核模块(LKM)机制在内核收集数据,而把数据的分析处理放在用户层进行,并利用ioctl的方式实现数据共享。训练数据
6、收集完备以后,需要构建入侵检测的模型。我们研究了几种现有的基于系统调用序列的异常检测算法,分析和比较它们各自的优缺点,并提出了基于系统调用宏的马尔科夫链异常检测模型(MacroMCM)。在建模时,提取程序正常行为迹中大量重复出现的有规律的系统调用短序列作为独立的基本单位(宏),并以宏为基本单位构建MarcoMCM。检测时逐一读取系统调用数据并将其与宏进行匹配,然后利用宏序列连续出现的概率判断是否发生入侵。为了验证提出的模型是否可行,在Linux系统中设计并实现了系统调用采集模块、预处理模块、MarcoMC
7、M的训练模块以及检测模块。实验结果表明,该模型检测性能要好于基于系统调用的一阶与二阶马尔科夫链模型,在误报率不明显增大的情况下,检测效率高于HMM,与DBCPIDS相当,但计算复杂度要明显好于这两者。最后,针对本文实现的模型,提出了几种适用的入侵响应办法,并分析了它们各自适应的情况。关键词:入侵检测,进程行为,系统调用序列,异常检测,马尔科夫链IABSTRACTABSTRACTAlongwiththefrequentoccurrenceofnetworkattacks,intrusiondetection
8、graduallybecomeahotspotinthefieldofsecurityresearchsinceitdefendsthesystemfromallkindsofattacks.Theintrudermostlyattacksthesystembythemethodofattackprocessofprivilege,whichiseasytoidentifyinthecaseofinvasion,because
此文档下载收益归作者所有