论文部分内容阅读
随着Internet技术的迅速发展,网络入侵问题也越发严重,入侵检测己成为网络防护安全体系中的重要组成部分。入侵检测系统通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。异常检测作为入侵检测的一个重要分支,越来越受到人们的重视。
论文首先从各个方面介绍了入侵检测技术。通过对各种入侵检测技术的分析和比较,确定了在系统中基于系统调用,进行入侵检测的方案。
然后,介绍了系统调用及隐马尔可夫模型的相关理论。深入分析了将隐马尔可夫模型应用到入侵检测系统中的可行性,简要介绍了与本文相关的其他入侵检测系统,指出其中的可取之处与不足。
接着,详细介绍了利用隐马尔可夫模型进行入侵检测的过程。将正常系统运行时产生的系统调用作为隐马尔可夫模型的观察事件,将程序的行为模式作为隐马尔可夫模型的状态,建立了用于检测的隐马尔可夫模型。然后,通过离线训练部分构造出能反应正常系统行为模式的轮廓库,在线检测时,则将待检系统调用序列所对应的隐马尔可夫状态短序列与轮廓库中的短序列相匹配,从而发现入侵。
参考通用入侵检测公共框架,结合Linux平台的实际情况,设计并实现了本文的隐马尔可夫模型入侵检测系统。介绍了在Linux中截获系统调用、内核访问等关键技术。详细介绍了事件产生器与事件分析器,并实现了对这两个关键模块的保护,防止入侵者对本系统发起的攻击。
最后对实现的入侵检测系统进行了测试,与其他方法相比较,得到了较好的检测结果。