欢迎来到天天文库
浏览记录
ID:38189179
大小:194.98 KB
页数:4页
时间:2019-05-24
《基于LSM的数据源在异常检测中的应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第33卷第4期电子科技大学学报Vol.33No.42004年8月JournalofUESTofChinaAug.2004一种基于LSM的数据源在异常检测中的应用12张衡,张毓森(1.解放军理工大学通信工程学院南京210007;2.解放军理工大学指挥自动化学院南京210007)【摘要】针对异常检测中的数据源选择、行为描述、正常行为学习和行为匹配,提出了一种新的基于安全模块的数据源。为验证其有效性,采用基于信息理论的数据分析和马尔可夫模型两种方法,并与目前较多采用的系统调用数据源作了对比。实验结果表明,新数据源有效,且在一定条件
2、下,比系统调用数据更具优势。关键词异常检测;行为控制;安全模块;系统调用中图分类号TP309文献标识码AApplicationofLSM-BasedDataSourceonAnomalyDetection12ZhangHeng,ZhangYusen(1.InstituteofCommunicationsEngineering,PLAUniversityofScienceandTechnologyNanjing210007;2.InstituteofCommandAutomation,PLAUniversityofScienc
3、eandTechnologyNanjing210007)AbstractTheresearchofanomalydetectionnowfocusesonfouraspects:selectionofdatasource,specificationofbehavior,normalbehaviorlearning,behaviormatching.Forthefirstaspect,anewdatasource,whichisbasedonlinuxsecuritymodules,ispresentedinpaper.Ino
4、rdertotestitseffect,weemploytwokindsofmethod:information-theoreticmeasuresandMarkovchainsmodel,andwealsocomparetheresultwithdataofsystemcall.Theconclusionofexperimentindicatesthatthisdatasourceisusefulandevenbetterthandataofsystemcallundercertaincondition.Keywordsa
5、nomalydetection;behaviorcontrol;linuxsecuritymodules;systemcall互联网的开放性为信息的共享和交互提供了极大的便利,但同时也对信息的安全性提出了严峻的挑战。保证信息安全已逐渐发展成为信息系统的关键问题。入侵检测(IntrusionDetection)作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷。异常检测因具有突出的优点已经成为入侵检测的发展方向。异常检测的核心是行为控制,包括程序行为控制和用户行为控制,即判断程序或用户的行为是否正常。从国内外的
6、研究情况来看,行为控制的研究可以分为数据源选择、行为描述、正常行为学习、行为匹配四个方面,其中数据源基本上来自于系统调用[1,2]和审计数据两个方面。系统调用数据得到广泛应用,对一个特定的程序,其系统调用序列是相当稳定的;而审计数据在很多研究中来自于Solaris的BSM,它有较为确切的语义。1LSM概述安全模块(LinuxSecurityModules,LSM)项目是由Wirex发起、开发的一个框架结构,目前已有2.4内核和[3]2.5内核的补丁。LSM为Linux内核的访问控制提供统一的支持。但是,LSM侧重于减少对Li
7、nux的影响,将能力逻辑独立出来,支持安全功能以内核模块的方式实现。LSM为了支持大部分Linux安全项目,不能利用收稿日期:2003−11−28基金项目:国家863计划资助项目(2002AA141090)作者简介:张衡(1977−),男,博士生,主要从事操作系统方面的研究.404电子科技大学学报第33卷特定的访问控制结构(如GFAC、FLASK)或特定的安全模型(如DTE)。LSM与具体的安全模型无关,只是一个通用框架。为了提供最大的灵活性,LSM仅仅提供内核抽象和对安全模块的操作,允许各种模块实现各自的结构和模型。这种框
8、架对系统需要保护的资源进行分析,确定哪些是要保护的客体,通过分析源程序,进一步确定这些客体对应哪些数据结构,以及哪些函数对其进行了操作。在对客体进行访问的最终的(以功能为粒度的)函数中插入hook,截获访问,调用安全机制,并通过另外一些hooks修改客体对应的数据结构,以满足安全机制的需要
此文档下载收益归作者所有