本文介紹了當(dāng)前的安全形勢，強(qiáng)調(diào)了通過監(jiān)控進(jìn)程的行為進(jìn)行入侵檢測的重要性。文章的目的是提出一種基于系統(tǒng)調(diào)用參數(shù)信息的進(jìn)程行為分析模型。 在進(jìn)程的行為數(shù)據(jù)采集階段，分析了四種流行的內(nèi)核層次攔截系統(tǒng)調(diào)用的方法并總結(jié)了它們的缺點(diǎn)，提出了通過修改中斷向量表攔截系統(tǒng)調(diào)用的方法，并利用LKM技術(shù)對(duì)其進(jìn)行了實(shí)現(xiàn)。為了提出更好的檢測模型，對(duì)當(dāng)前基于進(jìn)程系統(tǒng)調(diào)用序列的STIDE、KNN、HMM等經(jīng)典模型進(jìn)行了實(shí)驗(yàn)和分析，總結(jié)了這些模型的優(yōu)缺點(diǎn)。通過分析這些模型的缺點(diǎn)，本文提出了基于系統(tǒng)調(diào)用參數(shù)信息的進(jìn)程行為分析模型——A-LERAD；A-LERAD模型將系統(tǒng)調(diào)用參數(shù)、系統(tǒng)調(diào)用返回值和錯(cuò)誤狀態(tài)加入了模型，使用系統(tǒng)調(diào)用和系統(tǒng)調(diào)用的參數(shù)信息對(duì)進(jìn)程的行為進(jìn)行表征。為了得到進(jìn)程的正常行為庫，提出了基于規(guī)則學(xué)習(xí)的算法LERAD。LERAD算法能夠?qū)⑾到y(tǒng)調(diào)用的參數(shù)信息加入到規(guī)則中，生成進(jìn)程的正常行為規(guī)則集。訓(xùn)練時(shí)，通過規(guī)則學(xué)習(xí)算法LERAD生成進(jìn)程正常行為的最小規(guī)則集；檢測階段利用該規(guī)則集對(duì)進(jìn)程的行為進(jìn)行檢測，如果異常度超過了預(yù)設(shè)的閾值，那么該行為被認(rèn)為是異常的。 為了證明本文提出的進(jìn)程行為分析模型的正確性，本文又提出...

【文章頁數(shù)】：90 頁

【學(xué)位級(jí)別】：碩士

【文章目錄】：
摘要
ABSTRACT
目錄
第一章 緒論
    1.1 研究背景
    1.2 國內(nèi)外研究現(xiàn)狀
        1.2.1 基于系統(tǒng)調(diào)用序列的分析方法
        1.2.2 基于系統(tǒng)調(diào)用安全特性的分析方法
    1.3 論文的研究內(nèi)容
    1.4 論文的組織結(jié)構(gòu)
第二章 進(jìn)程行為提取方法的研究
    2.1 進(jìn)程行為的定義
        2.1.1 進(jìn)程與系統(tǒng)調(diào)用及內(nèi)核之間的關(guān)系
        2.1.2 系統(tǒng)調(diào)用過程分析
    2.2 進(jìn)程監(jiān)控技術(shù)
        2.2.1 用戶層的監(jiān)控技術(shù)
        2.2.2 內(nèi)核層的監(jiān)控技術(shù)
            2.2.2.1 LKM 技術(shù)
            2.2.2.2 Linux 安全模塊
        2.2.3 當(dāng)前進(jìn)程監(jiān)控存在的不足
    2.3 系統(tǒng)調(diào)用攔截技術(shù)的研究與分析
        2.3.1 系統(tǒng)調(diào)用表法攔截系統(tǒng)調(diào)用
        2.3.2 修改內(nèi)核函數(shù)法攔截系統(tǒng)調(diào)用
        2.3.3 利用 strace 獲取系統(tǒng)調(diào)用
        2.3.4 利用 ptrace 攔截系統(tǒng)調(diào)用
        2.3.5 各種系統(tǒng)調(diào)用攔截技術(shù)優(yōu)缺點(diǎn)分析
    2.4 修改中斷向量表法攔截系統(tǒng)調(diào)用
        2.4.1 Linux 系統(tǒng)的中斷機(jī)制分析
        2.4.2 修改 Linux 系統(tǒng)的中斷向量表
        2.4.3 通過中斷向量表截獲系統(tǒng)調(diào)用的實(shí)現(xiàn)
    2.5 本章小結(jié)
第三章 基于系統(tǒng)調(diào)用序列的進(jìn)程行為分析模型的研究
    3.1 通過分析系統(tǒng)調(diào)用序列來分析進(jìn)程行為的可行性
        3.1.1 系統(tǒng)調(diào)用的序列分析
        3.1.2 系統(tǒng)調(diào)用的關(guān)聯(lián)分析
    3.2 基于 STIDE 的異常檢測模型
        3.2.1 進(jìn)程正常行為庫的建立
        3.2.2 進(jìn)程異常行為的檢測
        3.2.3 實(shí)驗(yàn)數(shù)據(jù)與結(jié)果分析
    3.3 基于 KNN 算法的異常檢測模型
        3.3.1 KNN 算法的理論基礎(chǔ)
        3.3.2 基于 KNN 算法異常行為檢測
        3.3.3 實(shí)驗(yàn)數(shù)據(jù)與結(jié)果分析
    3.4 基于 HMM（隱式馬爾科夫模型）的異常檢測模型
        3.4.1 HMM 介紹
        3.4.2 正常行為庫的構(gòu)建
        3.4.3 基于 HMM 的異常行為檢測
        3.4.4 實(shí)驗(yàn)數(shù)據(jù)及結(jié)果分析
    3.5 基于系統(tǒng)調(diào)用序列的進(jìn)程行為分析模型的總結(jié)
        3.5.1 基于系統(tǒng)調(diào)用序列的進(jìn)程行為分析方法的不足
        3.5.2 其他建模方法的探索
    3.6 本章小結(jié)
第四章 基于系統(tǒng)調(diào)用參數(shù)信息的進(jìn)程行為分析模型
    4.1 基于系統(tǒng)調(diào)用參數(shù)信息的異常檢測模型的研究現(xiàn)狀
        4.1.1 系統(tǒng)調(diào)用參數(shù)長度模型
        4.1.2 系統(tǒng)調(diào)用參數(shù)字符分布模型
        4.1.3 系統(tǒng)調(diào)用參數(shù)特殊規(guī)則模型
        4.1.4 當(dāng)前參數(shù)模型的不足
    4.2 基于系統(tǒng)調(diào)用參數(shù)信息的異常檢測模型的特征提取算法
        4.2.1 LERAD 關(guān)聯(lián)規(guī)則學(xué)習(xí)算法
        4.2.2 基于系統(tǒng)調(diào)用的 LERAD 規(guī)則學(xué)習(xí)算法
    4.3 基于系統(tǒng)調(diào)用和參數(shù)的異常檢測模型
        4.3.1 基于系統(tǒng)調(diào)用序列的 LEARD 模型：S-LERAD
        4.3.2 基于系統(tǒng)調(diào)用參數(shù)的 LEARD 模型：A-LERAD
        4.3.3 融合系統(tǒng)調(diào)用序列和當(dāng)前系統(tǒng)調(diào)用參數(shù)信息的方法：M-LERAD
        4.3.4 融合系統(tǒng)調(diào)用序列和所有系統(tǒng)調(diào)用參數(shù)信息的方法：M*-LERAD
    4.4 實(shí)驗(yàn)評(píng)估
        4.4.1 實(shí)驗(yàn)環(huán)境配置
        4.4.2 實(shí)驗(yàn)數(shù)據(jù)源與實(shí)驗(yàn)過程
        4.4.3 基于系統(tǒng)調(diào)用序列的 LERAD 方法與 t-stide 的對(duì)比
        4.4.4 基于系統(tǒng)調(diào)用序列的方法與基于系統(tǒng)調(diào)用參數(shù)信息方法的對(duì)比
        4.4.5 NULL 屬性值的作用的分析
    4.5 異常行為分析
    4.6 A-LERAD 模型的空間復(fù)雜度和時(shí)間開銷
    4.7 本章小結(jié)
第五章 總結(jié)與展望
    5.1 主要工作和創(chuàng)新點(diǎn)
    5.2 基于系統(tǒng)調(diào)用參數(shù)信息模型的改進(jìn)方向和展望
    5.3 本章小結(jié)
致謝
參考文獻(xiàn)
攻碩期間取得的研究成果



本文編號(hào)：3982009