基于Windows系统调用的异常检测-计算机应用专业论文.docxVIP

(3) In the detection, a method called locality frame count was introduced to improve the detection accuracy. This method improves the detection rate and the ability of detecting attacks, reduces the false positive and false negative rate. Finally, some problems to be further studied are discussed and the further development of intrusion detection is discussed. Keywords： Intrusion Detection，Anormaly Detection，System Call，Detection Algorithms，Locality Frame Count 目 录 第一章 绪论 1 1.1 信息安全概述 3 1.1.1 信息安全的背景 8 1.1.2 安全威胁的根源 11 1.1.3 安全研究的现状与趋势 12 1.2 入侵检测系统概述 13 1.2.1 入侵检测系统原理 14 1.2.2 入侵检测技术分类 15 1.2.3 入侵检测的数学模型 20 1.2.4 入侵检测系统发展趋势 21 1.3 本课题的目标 22 第二章 基于程序行为的异常检测 24 2.1 对程序行为进行分析的优点 24 2.1.1 在特权程序层次上监控异常 24 2.1.2 分析系统调用的方法 25 2.2 WINDOWS 特权进程与系统调用 26 Windows 特权进程分析. 27 Windows 系统调用分析. 28 2.3 WINDOWS 关键系统调用 31 第三章 算法分析比较改进 33 3.1 序列检测分析 33 3.1.1 关联分析 33 3.1.2 序列分析 33 KNN 分析 34 HMM 分析 35 3.4 基于系统调用的异常检测方法小结 36 3.5 系统调用短序列算法的改进 37 3.6 本文算法总结 38 第四章 系统设计与实现 39 4.1 整体设计 39 4.2 数据采集模块 42 IDT HOOK 43 SYSENTER HOOK 45 4.2.3 数据组织模块 45 4.3 一般系统调用检测 45 4.4 关键系统调用检测 46 4.5 关键文件系统调用检测 47 4.6 系统响应策略 48 4.6.1 自动报警 49 4.6.2 终止进程 49 4.6.3 和其他网络安全设备联动 49 第五章 系统评测与安全性分析 51 5.1 系统性能消耗 51 5.2 检测模块安全性评估 52 5.3 安全响应模块评估分析 58 第六章 结论与展望 60 6.1 本文结论 60 6.2 未来展望 61 致 谢 62 参 考 文 献 63 攻读硕士期间的科研及学术论文 67 PAGE PAGE 10 第一章 绪论 信息安全是当前学术界及工业界研究的热点，而入侵检测技术更是近年来发 展迅猛、备受人们关注的研究领域之一。本章将从信息安全的背景，安全威胁的 根源以及安全研究现状与趋势出发，着重介绍和分析当前入侵检测技术的原理和 趋势，总结其不足之处，从而提出本课题的研究目标。 1.1 信息安全概述 1.1.1 信息安全的背景 在我国，CINIC 日前发布的互联网统计报告显示，截止 2005 年 4 月，我国 互联网用户数已经突破 1 亿，达到 10300 万。随着互联网热潮的兴起，整个社会 对网络的依赖越来越强，信息安全的重要性开始显现。但与互联网相关的安全措 施却未能跟上网络经济迅速发展的步伐，没有形成规模完善的安全管理，致使病 毒和垃圾邮件正在以爆炸性的速度增长。不仅如此，互联网所提供的信息可信度 不断降低，黑客的恶意袭击也使网络运行的稳定性日益下降，互联网上的财产至 今得不到有效保护，各类网络侵害事件频频发生。信息安全引起各方高度关注。 据国家计算机网络应急技术处理协调中心发布的《2004 年网络安全工作报告》 显示，2004 年国家计算机网络应急技术处理协调中心共收到国内外通过应急热 线、网站、电子邮件等报告的网络安全事件 64686 件。而 2003 年这一数字仅是 一万三千多件，网络安全事件一年翻了近五倍。。正如我国国务院信息化办公室 网络安全组组长王渝次司长所指出的：“信息安全问题现在已经成为信息化发展 中必须面对的经常性问题，它不仅给一个国家的信息化进程带来现实的挑战，而 且也给国家与国家之间带来新的制约关系，为各国运用信息技