基于系统调用参数关系可信度的入侵检测模型.docVIP

　　基于系统调用参数关系可信度的入侵检测模型 第 1 章 绪 论 1.1 研究背景和意义 近年来，随着互联网的飞速发展以及移动端应用的崛起，信息技术家族又衍生出了物联网、车联网、移动网等新成员，同时也出现了越来越多的网络安全事故。传统PC端的恶意攻击以及移动端的支付系统漏洞、用户隐私信息的公开等问题逐渐从科学实验室的研究报告中走入了普罗大众的视线里。网络支付系统、能源控制系统、通信系统[1,2]等传统应用系统对安全性以及生存性具有极高的要求，由于其涉及到货币交易或关键机密信息的传播，这类应用系统早已成为恶意分子的攻击目标。而随着移动用户使用量的激增，新型应用系统涉及到了更多个人信息，一旦出现网络安全问题，影响将是巨大的，而斯诺登事件的发生更是将网络安全问题提升到了政治高度。目前，在安全防护领域方面，主要的措施包括反病毒软件、防火墙以及应用系统自身的身份安全验证和操作权限控制机制等。反病毒软件依靠病毒库确定病毒种类并予以消灭；而防火墙主要是控制端口流量，防止不明数据的流入和流出；身份安全验证以及操作权限控制仅仅能禁止组织外部人员或无权限人员的敏感操作，但对于有权限人员的误操作却无能为力。以上这些传统的防护技术由于以下问题，已不足以保护当今越来越复杂的系统和网络。(1) 零日漏洞。近几年出现的零日漏洞指的是在漏洞发现之时就是其被恶意利用之时。由于这种攻击事件的突发性，传统安全措施无法及时应对，就会对应用系统造成极大的破坏(2) 内部人员的破坏。传统安全防护措施往往将防护重点放到外部攻击，而实际上拥有特殊权限的内部人员的恶意入侵或误操作的危害性也是很大的。(3) 软件漏洞。随着科学技术的发展以及软件工程的进步，软件的功能越来越丰富，能力也越来越强大。同时软件本身存在的漏洞也越来越多，一旦被恶意利用造成的危害也越来越大。传统的迭代更新补丁的方法无法保证实时的防护安全。(4) 入侵攻击的新变化。拟态攻击、代码混淆技术等新型技术的兴起使得入侵攻击的检测和防护变得更加困难。传统的被动检测技术由于过度依赖开发商的定期更新，早已无法应对日异月新的攻击技术。 .... 1.2 研究现状 关于入侵检测的研究工作一直是安全领域的研究热点。最早是 Forrest 等人[3]利用系统调用序列，建立 N-Gram 模型描述软件行为，在此之后国内外学者提出了一系列利用动态或静态训练方法从而建立基于系统调用的入侵检测模型。aggi[11]等人的改良提高了其检测精度和效率。同时 Bhatkar[12]提出了一个考虑动态数据流的模型，该模型利用控制流上下文提取调用参数之间的关系规则，避免了之前仅分析单一调用参数的静态特征。Li Peng[13]对该模型进行了改进，利用控制流分析技术，提取系统调用模式集，提高了 Bhatkar 关系规则的完备性和实效性。 .... 第 2 章 入侵检测系统相关理论知识 2.1 入侵检测基础与发展 入侵是一种利用系统漏洞，在非授权的情况下进行信息的读取篡改的恶意行为。针对应用系统，在没有授权的情况下任何尝试取得额外权限的内外部操作都属于入侵行为[14]。区别于其他恶意行为，入侵往往具有强隐秘性、高破坏性以及强突发性等特点。入侵检测是针对入侵行为利用各种手段判断并告警异常的过程。主要指的是通过监测系统内外部所有用户(或软件)的活动行为数据，进行综合分析，发现并识别出异常行为的过程。入侵检测系统是一种根据某种检测策略，分析识别计算机系统中的异常行为，并针对异常行为做出反应的系统。根据检测内容的不同可以将入侵检测系统分为误用检测系统和异常检测系统，分别针对特权用户错误操作和外部人员的恶意行为进行检测的系统。入侵检测技术的研究始于 1980 年 James P.Anderson 的提出入侵检测安全机制。James P.Anderson 将不同类型的安全威胁进行概括性的划分[15]，如图 2-1所示就是 James P.Anderson 划分出的威胁种类图，并在文献[15]中给出了每种威胁的定义。(1) 脆弱性(Vulnerability)：特指应用系统本身的特性。由于完美无缺的程序是不存在的，都会存在着或多或少、或已知或未知的漏洞，而这些漏洞正如水坝下的蚁穴，给应用系统埋下了隐患。(2) 风险(Risk)：指的是各种意外事件。如硬件损坏、操作不完整或任何偶然性的事故。风险的发生具有着突发性，往往会导致更加严重的危害。(3) 攻击(Attack)：指恶意分子有目的性采取一系列动作，破坏、窃取或篡改应用系统和数据的威胁。(4) 威胁(Threat)：特指操作权限的破坏，如应用系统被未授权用户所操作或用户超越本身权限做了管理员的事情。(5) 渗透(Peration)：指攻击者利用一系列手段后成功侵入内部的行为。攻击者从此便可以伪装起来，并拥有特殊的