返回
基于系统调用的入侵检测

基于系统调用的入侵检测

ID:38101193

大小:289.50 KB

页数:3页

时间:2019-05-24

基于系统调用的入侵检测_第1页
基于系统调用的入侵检测_第2页
基于系统调用的入侵检测_第3页
资源描述:

《基于系统调用的入侵检测》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于系统调用的入侵检测王凤先胡陈丽张岩(河北大学数学与计算机学院,河北保定071002)E-mail:chenlihu@126.com摘要计算机免疫系统是防护计算机系统安全的新兴技术,类MCAgent属于计算机系统安全模型GECISM中的一个代理,是模仿生物免疫系统区分计算机系统中“自我”和“非我”的主要部分。文章主要就类MCAgent对入侵实时检测的实现与检测敏感度进行了分析和讨论。介绍了含特洛伊代码的login程序系统调用序列中“非我”的分布情况,以及用数据挖掘技术生成不同规则后时该类“非我”程序的检刚结果对比与分析。关键词系统

2、调用入侵检测计算机免疫系统数据挖掘IntrusionDetectionBasedonSystemCallSequenceWangFengxianHuChenliZhangYan(CollegeofMathematicsComputer,HebeiUniversity,Baoding,Hebei071002)et:Computerimmunesystemistechnologyinareaofcomputersecurity.MCAgentisamaincomponentagenisincomputersecuritymodelGEC

3、ISM,whosemainfunctionistodistinguish"self'and"nonself'incomputerbyimitatingbiologyimmunesystem.Therealizationoftherea匕imeintrusiondetectionofMCAgentisintro-andthedetectionacuityisanalyzed.Atthetime,thedistributingof"nonself"insystemcallsequencesofloginprogrameswhichinc

4、ludeTrojancodeisofered.Byusingdataminingtechniques,severalrulesetsareinduced.furthermorethoserulesetsareusedtodetectthesamekindsofintrusion,andtheresultsarecomparedandanalyzed.Keywords:systemcall,intrusiondetectionimmunesystem,datamining随着信息网络化的发展,信息安全已不再局限于对信息的代码允许入侵者

5、通过“后门”登陆系统的行为。系统调用序列数保护,而是对整个系统的保护和防御。人侵检测就是为了尽快据集来自新墨西哥州大学计算机免疫系统网站。原始数据集中发现系统被攻击的迹象,以保证系统的保密性、完整性、可用性数据分为两列,分别为进程标志符和系统调用。该数据集中包的一种网络安全技术。近年来人们将生物免疫机理应用在防护括3个“自我”程序(7个进程)和7个“非我”程序(9个进程)执计算机系统和计算机网络的安全上,提出了计算机免疫系统。行时的系统调用序列。其模仿生物免疫系统来区分计算机系统中的“自我”和外来的1.1生成系统调用短序列“非我”,

6、并对“非我”进行有效的分类消除。文献【11详细阐述了采用滑动窗口方法处理原始数据来生成系统调用短序列。计算机免疫系统的基本原则。目前在此方面进行系统研究的主WenkeLee试验的结果表明[3]:滑动窗口尺寸从6到14之间时要有IBM公司的J.O.Kephart等研究人员,哥伦比亚大学的分类模型的准确性没有明显差距。考虑到计算成本,实验中用WenkeLee等;国内有武汉大学软件工程国家重点实验室、北定长窗口W(W=7),步长为1滑动各“自我”程序系统调用序方交通大学等。生物免疫系统是一个分布、自适应、自学习、自列,生成长度为8的系统调

7、用短序列(PO,P1,P2,P3,P4,P5,治的多层防御系统,仿照这些原则我们设计了计算机免疫系统P6,P7),其中P7为属性类别,标识为“1”,放人N(Normal)库模型GECISM(GeneralComputerImmuneSystemModel产。该中。模型由不同的代理构成,各代理模拟不同免疫细胞的功能,通同样对每个“非我”程序系统调用序列,生成长度为8的系过相互协作区分计算机系统中的“自我”、“非我”,并对“非我”统调用短序列,属性类别标识为‘`0",放人A;(Abnormal)库中进行分类消除。该文将介绍含特洛伊代码的

8、login程序系统调(A;库中存放第i个“非我”程序系统调用序列处理后的短序用序列中“非我”的分布情况,用数据挖掘技术生成不同规则后列)。对该类“非我”程序的检测结果进行对比,并具体给出了GECISM删除N库中重复出现的系统调用短序列

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。