基于Linux進(jìn)程行為的入侵檢測(cè)技術(shù)研究.pdf

1、隨著各種網(wǎng)絡(luò)安全問(wèn)題的頻頻發(fā)生,入侵檢測(cè)能夠積極主動(dòng)的防御各種攻擊而逐漸成為安全研究領(lǐng)域的熱點(diǎn)。由于入侵者在攻擊系統(tǒng)時(shí)大都采用的是攻擊特權(quán)進(jìn)程的方式,特權(quán)進(jìn)程完成某些特定的行為,因此在其正常執(zhí)行時(shí)的行為軌跡相對(duì)穩(wěn)定,一旦發(fā)生入侵就很容易捕捉到。在此基礎(chǔ)上,本文提出了基于 Linux進(jìn)程行為的入侵檢測(cè),通過(guò)監(jiān)控 Linux系統(tǒng)中的某些特權(quán)進(jìn)程對(duì)主機(jī)實(shí)施安全防護(hù),經(jīng)過(guò)實(shí)驗(yàn)證明該方法對(duì)針對(duì)主機(jī)的入侵活動(dòng)具有較好的檢測(cè)效果。
　　訓(xùn)練數(shù)據(jù)

2、的收集以及建模方法的選擇是決定入侵檢測(cè)效率的兩個(gè)重要因素。首先是訓(xùn)練數(shù)據(jù)的收集,我們分析了由于攻擊可能造成的正常行為和入侵行為之間的差異,提出利用系統(tǒng)調(diào)用序列作為入侵檢測(cè)的數(shù)據(jù)源。利用可加載內(nèi)核模塊(LKM)機(jī)制在內(nèi)核收集數(shù)據(jù),而把數(shù)據(jù)的分析處理放在用戶層進(jìn)行,并利用 ioctl的方式實(shí)現(xiàn)數(shù)據(jù)共享。
　　訓(xùn)練數(shù)據(jù)收集完備以后,需要構(gòu)建入侵檢測(cè)的模型。我們研究了幾種現(xiàn)有的基于系統(tǒng)調(diào)用序列的異常檢測(cè)算法,分析和比較它們各自的優(yōu)缺點(diǎn),并

3、提出了基于系統(tǒng)調(diào)用宏的馬爾科夫鏈異常檢測(cè)模型(Macro MCM)。在建模時(shí),提取程序正常行為跡中大量重復(fù)出現(xiàn)的有規(guī)律的系統(tǒng)調(diào)用短序列作為獨(dú)立的基本單位(宏),并以宏為基本單位構(gòu)建Marco MCM。檢測(cè)時(shí)逐一讀取系統(tǒng)調(diào)用數(shù)據(jù)并將其與宏進(jìn)行匹配,然后利用宏序列連續(xù)出現(xiàn)的概率判斷是否發(fā)生入侵。
　　為了驗(yàn)證提出的模型是否可行,在Linux系統(tǒng)中設(shè)計(jì)并實(shí)現(xiàn)了系統(tǒng)調(diào)用采集模塊、預(yù)處理模塊、Marco MCM的訓(xùn)練模塊以及檢測(cè)模塊。實(shí)驗(yàn)結(jié)