收藏本站
《浙江大学》 2003年
收藏 | 手机打开
二维码
手机客户端打开本文

基于系统调用的异常入侵检测技术及IDS扩展功能的研究

徐明  
【摘要】: 信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为攻击、防范、检测、管理、评估等多方面的基础理论和实施技术。另一方面,计算机技术发展和互联网的普及,伴随的是网络入侵和攻击的频频发生。而且随着技术的进一步发展,其手段和方法也是越来越高明,几乎到了无孔不入的地步。因此入侵检测已经越来越成为信息安全系统中不可缺少的技术。入侵检测技术研究也是近年来信息安全研究领域的一个热点。本文将对入侵检测的核心技术异常检测新模型,IDS(Intrusion Detection Systems)的数字证据功能和IDS的警报及其日志的安全事件离线相关性分析技术,三个方面进行了研究。主要研究的内容如下: 1.提出了一个基于系统调用宏的异常检测模型。把正常程序行为产生的系统调用迹中大量有规律的重复出现的系统调用短序列看成一个个独立的基本单位(宏),并以宏为基本单位构建一个基于马尔可夫链的异常入侵检测模型。通过与基于系统调用的一阶和二阶马尔可夫链异常检测模型的比较研究得出结论:基于系统调用宏的马尔可夫链模型在检测性能要高于一阶和二阶马尔可夫链模型;而在存储要求上稍高于一阶马尔可夫链模型,但低于二阶马尔可夫链模型;虽然在训练时间上是一阶和二阶马尔可夫链模型若干倍,但实时检测速度要高于它们两者。 2.提出了一个两层马尔可夫链异常入侵检测模型。由于服务进程的行为不仅于依赖进程的代码也依赖于当前的输入,所以一个服务进程的行为可以被看成由一个高层能体现进程进入不同状态的马尔可夫链组成(对应于服务进程接收到的请求或命令),然后在每一个特定的状态下是由另一个低层系统调用序列组成马尔可夫链。这些两层的马尔可夫链用于构建服务进程的正常行为轮廓和异常检测。实验的结果清楚表明两层马尔可夫链模型的检测性能要好于传统的马尔可夫链模型。利用两层马尔可夫链模型,异常将在异常真正发生的局部处被检测出,即检测出的异常将被限制在相应的请求内,而不是整个系统调用迹。 3.提出了一个基于系统调用分类的异常检测模型。系统调用按照功能和危险程度进行了分类,该模型只是针对每类中的关键调用(即危险级别为1 摘要 的系统调用)。在学习过程中,动态地处理每个关键调用,而不是对静态 数据进行数据挖掘或统计,从而可以实现增量学习。同时通过预定义规 则和精练过程可以有效地减少规则数据库中的规则数目,缩减了检测过 程中规则的匹配时间。实验结果清楚地表明检测模型可以有效侦测出 咫L、RZR和LZR型攻击,而且检测出的异常行为将被限制在相应的请 求内而不是整个系统调用迹。检测模型适合于针对特权进程(特别是基于 请求一反应型的特权进程)的异常入侵检测。 4.在适合生成数字证据的密码学技术研究中提出了:一个集成数据签名和 容错技术并能在加密、传送、解密和认证三个过程中实现容错的RSA加 密方案;一个基于零知识证明的身份认证协议;基于零知识证明的数字 签名方案。这些密码学技术为IDS能产生合法的数字证据提供了可靠的 技术手段。 5.重新设计了日志实体和加密密钥产生方法来扩展和增强了安全日志SK 协议并使之与IDS系统结合,使IDS成为可靠的数字证据来源。在保证 原协议安全性条件下(即使在入侵者控制了产生日志记录机器的情况下, 也能防止其阅读和实施不可侦测地篡改在这之前产生的记录),新的协议 能根据IDS系统的特点可以更加灵活有效地按数字证据记录号、时间、 主体、客体和类型或他们任意的组合来进行查证阅读证据记录的权限申 请与分配。在查证阅读证据记录的权限申请与分配方面新的协议与SK 协议相比更加灵活和符合实际问题而且通信量更少。基本思想是利用加 密、身份认证和数字签名等密码学技术来对IDS产生的警报及其日志进 行保护,使它们将来能成为法庭上的合法证据作好技术上的准备。 6.提出了一个基于DS产生的警报及其日志上的事件相关性分析模型。定 义了安全事件之间不依赖于物理时间戳的本质次序关系—前于关系和 其传递闭包—先于关系,并给出了前于关系、先于关系及其逻辑时钟 的数学模型及它们之间的相互关系。利用该事件模型可以精确地实现基 于源、目的和时间的事件关联性分析,事件文件的合并和拆分,事件间 的因果关系分析,事件的抽象和物理时间戳错误的事件发生时间区间估 计等操作。
【学位授予单位】:浙江大学
【学位级别】:博士
【学位授予年份】:2003
【分类号】:TP393.08

手机知网App
【引证文献】
中国硕士学位论文全文数据库 前3条
1 李剑;恶意软件行为分析及变种检测技术研究[D];杭州电子科技大学;2009年
2 柳飞;分布式入侵检测系统的研究与设计[D];贵州大学;2006年
3 苏朋;典型攻击的攻击效果评估技术研究[D];解放军信息工程大学;2008年
【参考文献】
中国期刊全文数据库 前10条
1 董宏,孙永强,候丽敏;抽象事件的时间戳[J];电子学报;1999年11期
2 王晓程,刘恩德,谢小权;攻击分类研究与分布式网络入侵检测系统[J];计算机研究与发展;2001年06期
3 谭小彬,王卫平,奚宏生,殷保群;计算机系统入侵检测的隐马尔可夫模型[J];计算机研究与发展;2003年02期
4 蔡忠闽,管晓宏,邵萍,彭勤科,孙国基;基于粗糙集理论的入侵检测新方法[J];计算机学报;2003年03期
5 马恒太,蒋建春,陈伟锋,卿斯汉;基于Agent的分布式入侵检测系统模型[J];软件学报;2000年10期
6 蒋建春,马恒太,任党恩,卿斯汉;网络安全入侵检测:研究综述[J];软件学报;2000年11期
7 苏璞睿,李德全,冯登国;基于基因规划的主机异常入侵检测模型(英文)[J];软件学报;2003年06期
8 王勇,曹斌,彭雪娜,常桂然;基于Petri网的攻击检测模式的优化生成算法[J];通信学报;2003年03期
9 杨向荣,宋擒豹,沈钧毅;基于行为模式挖掘的网络入侵检测[J];西安交通大学学报;2002年02期
10 李鸿培,王新梅;基于神经网络的入侵检测系统模型[J];西安电子科技大学学报;1999年05期
【共引文献】
中国期刊全文数据库 前10条
1 吴建胜,战学刚;基于TCP状态有限自动机的入侵检测研究[J];鞍山科技大学学报;2005年05期
2 高超;王丽君;;数据挖掘技术在基于系统调用的入侵检测中的应用[J];鞍山科技大学学报;2006年01期
3 赵勇;刘吉强;韩臻;;基于身份的盲签名在移动电子支付中的应用[J];北京交通大学学报;2007年05期
4 赵静;黄厚宽;田盛丰;纳跃跃;;基于转移和频率特征的协议异常检测[J];北京交通大学学报;2009年05期
5 王志新;;几种常用浏览器特色功能比较[J];办公自动化;2007年20期
6 蔡茂荣,陈波,陈强;分布式入侵检测体系结构研究[J];兵工自动化;2003年02期
7 黄鑫,尹宝林;多层次多策略的分布式网络信息过滤系统模型[J];北京航空航天大学学报;2003年10期
8 向尕,曹元大;基于攻击分类的攻击树生成算法研究[J];北京理工大学学报;2003年03期
9 岳永红;张建中;;一种简单高效的网上订货协议[J];宝鸡文理学院学报(自然科学版);2008年04期
10 钟鸣,杨义先;一种高效的基于离散对数假设的身份认证方案[J];北京邮电大学学报;2001年01期
中国重要会议论文全文数据库 前10条
1 喻飞;沈岳;廖桂平;张林峰;徐成;;基于模糊推理的入侵检测系统[A];第二十六届中国控制会议论文集[C];2007年
2 刘衍斐;李晖;罗群;;基于分层模型的通信网安全问题分析与对策[A];中国电子学会第十五届信息论学术年会暨第一届全国网络编码学术年会论文集(上册)[C];2008年
3 葛贤银;韦素媛;杨百龙;蒲玄及;;基于行为分析技术的混合入侵检测系统的研究[A];中国电子学会第十六届信息论学术年会论文集[C];2009年
4 李培;李燕杰;刘晓燕;;基于移动Agent的分布式入侵检测系统[A];广西计算机学会2004年学术年会论文集[C];2004年
5 李培;李燕杰;刘晓燕;;基于移动Agent的分布式入侵检测系统[A];广西计算机学会——2004年学术年会论文集[C];2004年
6 张满怀;;IDC网络安全研究[A];2007中国科协年会——通信与信息发展高层论坛论文集[C];2007年
7 范红;冯登国;邹良惠;;数字签名技术及其在网络通信安全中的应用[A];第十六次全国计算机安全学术交流会论文集[C];2001年
8 李世林;安力;;入侵检测系统的设计与实现[A];第十八次全国计算机安全学术交流会论文集[C];2003年
9 逄建;张广胜;于朝萍;;基于Petri网的网络系统脆弱性评估[A];第十九次全国计算机安全学术交流会论文集[C];2004年
10 黄琼;石雄;;基于CVFDT入侵检测技术的研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
中国博士学位论文全文数据库 前10条
1 马杰;网络安全威胁态势评估与分析方法研究[D];华中科技大学;2010年
2 许宪成;基于网络处理器的入侵检测系统设计与性能优化研究[D];华南理工大学;2010年
3 卓莹;基于拓扑·流量挖掘的网络态势感知技术研究[D];国防科学技术大学;2010年
4 马鑫;基于协同机制和智能算法的多代理系统研究及应用[D];吉林大学;2011年
5 蒋亚丽;基于格的密码方案的研究与设计[D];山东大学;2011年
6 王飞;入侵检测分类器设计及其融合技术研究[D];南京理工大学;2011年
7 汪洁;多态蠕虫特征自动提取算法研究[D];中南大学;2010年
8 苏锐丹;电子政务安全工程若干关键技术研究[D];西安电子科技大学;2010年
9 王金林;基于混沌时间序列和SVM的入侵检测系统研究[D];天津大学;2010年
10 姜伟;基于攻防博弈模型的主动防御关键技术研究[D];哈尔滨工业大学;2010年
中国硕士学位论文全文数据库 前10条
1 姜念;区间自适应粒子群算法研究及其应用[D];郑州大学;2010年
2 倪国涛;专网安全策略的设计与实现[D];哈尔滨工程大学;2010年
3 王秀锋;网络环境下异构日志信息获取和预处理研究[D];哈尔滨工程大学;2010年
4 李露璐;分布式入侵检测系统的报警关联与分析算法[D];大连理工大学;2009年
5 刘恒;秘密共享方案的研究[D];大连理工大学;2009年
6 王大卫;高速网络入侵检测若干关键技术的研究[D];长沙理工大学;2010年
7 扶宗文;基于粗糙集与支持向量机的入侵检测研究[D];长沙理工大学;2010年
8 谢文坚;无证书签密的研究[D];广西民族大学;2010年
9 孙大朋;入侵检测中模糊C-均值聚类算法研究[D];哈尔滨理工大学;2010年
10 高国峰;入侵容忍技术在入侵检测框架中的应用研究[D];哈尔滨理工大学;2010年
【同被引文献】
中国期刊全文数据库 前10条
1 李雄伟;于明;杨义先;周希元;;Fuzzy-AHP法在网络攻击效果评估中的应用[J];北京邮电大学学报;2006年01期
2 李雄伟;基于性能分析的网络攻击效果评估方法研究[J];电子对抗技术;2005年03期
3 张义荣,鲜明,赵志超,肖顺平,王国玉;计算机网络攻击效果评估技术研究[J];国防科技大学学报;2002年05期
4 周东清,张海锋,张绍武,胡祥培;基于HMM的分布式拒绝服务攻击检测方法[J];计算机研究与发展;2005年09期
5 汪生;孙乐昌;;网络攻击效果评估系统的研究与实现——基于指标体系[J];计算机工程与应用;2005年34期
6 赖英旭;刘增辉;;基于关联规则的未知病毒检测方法研究[J];计算机工程与应用;2008年07期
7 祝恩,殷建平,蔡志平,赵建民;计算机病毒自动变形机理的分析[J];计算机工程与科学;2002年06期
8 胡影,鲜明,肖顺平;DoS攻击效果评估系统的设计[J];计算机工程与科学;2005年02期
9 高能;冯登国;向继;;一种基于数据挖掘的拒绝服务攻击检测技术[J];计算机学报;2006年06期
10 陈伟;何炎祥;彭文灵;;一种轻量级的拒绝服务攻击检测方法[J];计算机学报;2006年08期
中国硕士学位论文全文数据库 前10条
1 邹辉;入侵监测系统(IDS)的应用研究[D];首都经济贸易大学;2002年
2 张勐;反变形病毒技术研究及策略分析[D];沈阳工业大学;2004年
3 孙强;IDS数据的收集与过滤[D];内蒙古大学;2004年
4 张乃胜;结合入侵检测的安全网管系统研究与实现[D];西南交通大学;2004年
5 褚龙;Windows分布式入侵检测与攻击源追踪系统[D];西南交通大学;2004年
6 邵俊;基于学习的入侵检测系统[D];南京理工大学;2004年
7 翁艳彬;入侵响应控制系统的设计与实现[D];中南大学;2004年
8 李笑雪;分布式入侵检测系统的研究[D];郑州大学;2004年
9 李跃龙;基于事件的网络入侵检测系统EIDS[D];电子科技大学;2004年
10 陈伟;网络攻击行为及蜜罐技术研究[D];电子科技大学;2004年
【二级引证文献】
中国期刊全文数据库 前2条
1 奚小溪;孙荣会;;恶意软件的行为与检测技术分析[J];安徽建筑工业学院学报(自然科学版);2012年03期
2 梁祥波;湛宁;;基于层次分析法的抗拒绝服务攻击性能体系研究[J];宁波职业技术学院学报;2012年02期
中国重要会议论文全文数据库 前1条
1 李岳梦;田盛泰;;入侵检测技术在电信网中的部署方案研究[A];第十七届全国青年通信学术年会论文集[C];2012年
中国硕士学位论文全文数据库 前1条
1 姜尧;软交换网络攻击效果评估技术研究[D];北京邮电大学;2011年
【二级参考文献】
中国期刊全文数据库 前5条
1 阮耀平,易江波,赵战生;计算机系统入侵检测模型与方法[J];计算机工程;1999年09期
2 杨向荣,宋擒豹,沈钧毅;基于数据挖掘的智能化入侵检测系统[J];计算机工程;2001年09期
3 李腊元;通信协议形式化模型的研究[J];计算机学报;1998年05期
4 朱大铭,马绍汉;二进制神经网络分类问题的几何学习算法[J];软件学报;1997年08期
5 胡侃,夏绍玮;基于大型数据仓库的数据采掘:研究综述[J];软件学报;1998年01期
【相似文献】
中国期刊全文数据库 前10条
1 宋歌,闫巧,喻建平;神经网络在异常检测中的应用[J];计算机工程与应用;2002年18期
2 刘峰,胡昌振,姚淑萍;一种基于系统调用序列的异常检测模型[J];计算机工程;2005年11期
3 徐明,陈纯,应晶;一个两层马尔可夫链异常入侵检测模型(英文)[J];软件学报;2005年02期
4 陆炜;曾庆凯;;一种基于控制流的程序行为扩展模型[J];软件学报;2007年11期
5 阎巧,谢维信;异常检测技术的研究与发展[J];西安电子科技大学学报;2002年01期
6 徐明,陈纯,应晶;基于系统调用分类的异常检测(英文)[J];软件学报;2004年03期
7 张衡,张毓森;一种基于LSM的数据源在异常检测中的应用[J];电子科技大学学报;2004年04期
8 闫巧,喻建平,谢维信;基于系统调用的神经网络异常检测技术[J];计算机工程;2001年09期
9 宋辛科;基于K-Nearest Neighbor分类算法的异常检测模型[J];西安石油大学学报(自然科学版);2004年02期
10 李千目,戚勇,刘凤玉;一种改进的基于系统调用的入侵检测技术[J];小型微型计算机系统;2004年07期
中国重要会议论文全文数据库 前10条
1 吴瀛;江建慧;;一种基于异常模式的系统调用异常检测[A];第六届中国测试学术会议论文集[C];2010年
2 陈林博;江建慧;张丹青;;基于多版本冗余进程的容侵系统[A];第十四届全国容错计算学术会议(CFTC'2011)论文集[C];2011年
3 王国强;;信息时代数字取证面临的挑战及相关对策[A];第26次全国计算机安全学术交流会论文集[C];2011年
4 邢丹;李艺;;LKM机制脆弱性分析[A];全国第16届计算机科学与技术应用(CACIS)学术会议论文集[C];2004年
5 唐勇;刘玉芳;孔晓峰;;基于Specification的保护Web服务的入侵检测技术研究[A];第一届全国Web信息系统及其应用会议(WISA2004)论文集[C];2004年
6 汪立东;钱丽萍;;基于Linux Rootkit隐藏技术建立Linux系统简档[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
7 符蓉;徐向阳;王靖;;Linux下基于交叉视图的隐蔽恶意代码检测[A];第八届全国信息隐藏与多媒体安全学术大会湖南省计算机学会第十一届学术年会论文集[C];2009年
8 邝祝芳;阳国贵;李清;;基于隐Markov模型的数据库异常检测技术[A];第二十三届中国数据库学术会议论文集(研究报告篇)[C];2006年
9 饶鲜;李斌;杨绍全;;用核聚类法进行异常检测[A];信号与信息处理技术第三届信号与信息处理全国联合学术会议论文集[C];2004年
10 张小强;朱中梁;范平志;;基于SVM和序列互相关特性的入侵检测[A];可持续发展的中国交通——2005全国博士生学术论坛(交通运输工程学科)论文集(下册)[C];2005年
中国重要报纸全文数据库 前10条
1 博文 编译;Rootkit: 病毒的庇护所[N];计算机世界;2006年
2 本报记者 边歆;异常检测是阻止蠕虫攻击的最好方法?[N];网络世界;2006年
3 Garry Sexton;入侵防护兼顾检测与防范[N];中国计算机报;2003年
4 吴作顺;IDS的普遍缺陷[N];中国计算机报;2002年
5 记者 李奕;兼容内核,国内Linux发展新思路[N];计算机世界;2005年
6 上海建行信息技术部 戴工玖;ILM技术在银行中的应用[N];计算机世界;2007年
7 静;关注中小企业安全[N];中国电脑教育报;2002年
8 本报记者 侯闯;Linux安全无神话[N];计算机世界;2004年
9 编译 沈建苗;Rootkit真相[N];计算机世界;2006年
10 陈智罡;《操作系统》课程 学习随想[N];中国电脑教育报;2004年
中国博士学位论文全文数据库 前10条
1 徐明;基于系统调用的异常入侵检测技术及IDS扩展功能的研究[D];浙江大学;2003年
2 苏璞睿;基于特权进程行为的入侵检测方法研究[D];中国科学院研究生院(软件研究所);2005年
3 田新广;基于主机的入侵检测方法研究[D];国防科学技术大学;2005年
4 周俊临;基于数据挖掘的分布式异常检测[D];电子科技大学;2010年
5 赵静;网络协议异常检测模型的研究与应用[D];北京交通大学;2010年
6 张琨;基于生物免疫学的入侵检测系统的研究与实现[D];南京理工大学;2003年
7 魏小涛;在线自适应网络异常检测系统模型与相关算法研究[D];北京交通大学;2009年
8 马丽;基于流形学习算法的高光谱图像分类和异常检测[D];华中科技大学;2010年
9 张相锋;安全审计与基于审计的入侵检测[D];中国科学院研究生院(软件研究所);2004年
10 郁继锋;基于数据挖掘的Web应用入侵异常检测研究[D];华中科技大学;2011年
中国硕士学位论文全文数据库 前10条
1 王宇;基于系统调用异常检测的深度分析方法[D];华中科技大学;2005年
2 高健培;一种基于系统调用参数的入侵检测方法的研究[D];燕山大学;2010年
3 张岩;计算机免疫系统中异常识别的设计与实现[D];河北大学;2005年
4 郑海祥;系统调用在主机入侵检测中的研究与应用[D];广东工业大学;2011年
5 刘晖;基于系统调用状态机的异常入侵检测方法[D];浙江大学;2004年
6 张林;基于Euclidean距离的入侵检测技术研究[D];西南农业大学;2004年
7 符蓉;Linux内核级Rootkit检测方法的研究与应用[D];湖南大学;2009年
8 曹登元;针对应用层未知攻击的蜜罐系统的研究与实现[D];江苏大学;2005年
9 刘洪涛;操作系统健壮性测试的方法与工具[D];同济大学;2006年
10 崔甲;Rootkit的分类方法和检测技术研究[D];电子科技大学;2007年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026