基于系统调用的异常入侵检测技术及IDS扩展功能的研究

【摘要】： 信息安全的内涵在不断地延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为攻击、防范、检测、管理、评估等多方面的基础理论和实施技术。另一方面，计算机技术发展和互联网的普及，伴随的是网络入侵和攻击的频频发生。而且随着技术的进一步发展，其手段和方法也是越来越高明，几乎到了无孔不入的地步。因此入侵检测已经越来越成为信息安全系统中不可缺少的技术。入侵检测技术研究也是近年来信息安全研究领域的一个热点。本文将对入侵检测的核心技术异常检测新模型，IDS(Intrusion Detection Systems)的数字证据功能和IDS的警报及其日志的安全事件离线相关性分析技术，三个方面进行了研究。主要研究的内容如下： 1．提出了一个基于系统调用宏的异常检测模型。把正常程序行为产生的系统调用迹中大量有规律的重复出现的系统调用短序列看成一个个独立的基本单位(宏)，并以宏为基本单位构建一个基于马尔可夫链的异常入侵检测模型。通过与基于系统调用的一阶和二阶马尔可夫链异常检测模型的比较研究得出结论：基于系统调用宏的马尔可夫链模型在检测性能要高于一阶和二阶马尔可夫链模型；而在存储要求上稍高于一阶马尔可夫链模型，但低于二阶马尔可夫链模型；虽然在训练时间上是一阶和二阶马尔可夫链模型若干倍，但实时检测速度要高于它们两者。 2．提出了一个两层马尔可夫链异常入侵检测模型。由于服务进程的行为不仅于依赖进程的代码也依赖于当前的输入，所以一个服务进程的行为可以被看成由一个高层能体现进程进入不同状态的马尔可夫链组成(对应于服务进程接收到的请求或命令)，然后在每一个特定的状态下是由另一个低层系统调用序列组成马尔可夫链。这些两层的马尔可夫链用于构建服务进程的正常行为轮廓和异常检测。实验的结果清楚表明两层马尔可夫链模型的检测性能要好于传统的马尔可夫链模型。利用两层马尔可夫链模型，异常将在异常真正发生的局部处被检测出，即检测出的异常将被限制在相应的请求内，而不是整个系统调用迹。 3．提出了一个基于系统调用分类的异常检测模型。系统调用按照功能和危险程度进行了分类，该模型只是针对每类中的关键调用(即危险级别为1 摘要 的系统调用)。在学习过程中，动态地处理每个关键调用，而不是对静态 数据进行数据挖掘或统计，从而可以实现增量学习。同时通过预定义规 则和精练过程可以有效地减少规则数据库中的规则数目，缩减了检测过 程中规则的匹配时间。实验结果清楚地表明检测模型可以有效侦测出 咫L、RZR和LZR型攻击，而且检测出的异常行为将被限制在相应的请 求内而不是整个系统调用迹。检测模型适合于针对特权进程(特别是基于 请求一反应型的特权进程)的异常入侵检测。 4.在适合生成数字证据的密码学技术研究中提出了:一个集成数据签名和 容错技术并能在加密、传送、解密和认证三个过程中实现容错的RSA加 密方案;一个基于零知识证明的身份认证协议;基于零知识证明的数字 签名方案。这些密码学技术为IDS能产生合法的数字证据提供了可靠的 技术手段。 5.重新设计了日志实体和加密密钥产生方法来扩展和增强了安全日志SK 协议并使之与IDS系统结合，使IDS成为可靠的数字证据来源。在保证 原协议安全性条件下(即使在入侵者控制了产生日志记录机器的情况下， 也能防止其阅读和实施不可侦测地篡改在这之前产生的记录)，新的协议 能根据IDS系统的特点可以更加灵活有效地按数字证据记录号、时间、 主体、客体和类型或他们任意的组合来进行查证阅读证据记录的权限申 请与分配。在查证阅读证据记录的权限申请与分配方面新的协议与SK 协议相比更加灵活和符合实际问题而且通信量更少。基本思想是利用加 密、身份认证和数字签名等密码学技术来对IDS产生的警报及其日志进 行保护，使它们将来能成为法庭上的合法证据作好技术上的准备。 6.提出了一个基于DS产生的警报及其日志上的事件相关性分析模型。定 义了安全事件之间不依赖于物理时间戳的本质次序关系—前于关系和 其传递闭包—先于关系，并给出了前于关系、先于关系及其逻辑时钟 的数学模型及它们之间的相互关系。利用该事件模型可以精确地实现基 于源、目的和时间的事件关联性分析，事件文件的合并和拆分，事件间 的因果关系分析，事件的抽象和物理时间戳错误的事件发生时间区间估 计等操作。