基于系統(tǒng)調用和上下文的異常檢測技術研究.pdf

1、隨著計算機和網絡技術的發(fā)展，信息安全成為愈加重要的一個研究領域。傳統(tǒng)的信息安全技術包括防火墻和入侵檢測等，防火墻技術能夠隔離非法訪問，但一旦被攻破即失效，而入侵檢測系統(tǒng)(IDS)被認為是防火墻之后的第二道安全閘門，它通過對數據源的審計判斷系統(tǒng)是否遭到入侵，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。 入侵檢測所利用的技術種類繁多，其中重要的一種是系統(tǒng)調用相關技術。但無論是基于系統(tǒng)調用序列還是其它參數特征的入侵檢測系統(tǒng)，都有其

2、缺陷。諸如無法檢測不改變調用順序的攻擊，或特征選擇未優(yōu)化導致的高系統(tǒng)開銷和低檢測能力等。 本文在前人研究的基礎上，提出了一種基于系統(tǒng)調用參數和進程上下文信息的入侵檢測模型。首先通過研究系統(tǒng)調用和入侵的關系，精選了關鍵系統(tǒng)調用及其關鍵參數，又通過對調用發(fā)生時的進程上下文的研究，選取了能夠標志進程不同階段又與安全相關的上下文信息。接著通過數學方法分析了模型中調用參數和上下文的關聯性是緊密的，即此模型理論上是可行的。 本文最后