基于程序行为分析的入侵检测技术-软件工程专业论文.docxVIP

基于程序行为分析的入侵检测技术 基于程序行为分析的入侵检测技术 搪 要 摘 要 本文从介绍信息安全的背景、威胁安全的根源及安全技术研究的内容出发，详尽分析 了当今传统的入侵检测技术使用及研究现状，指出了传统技术的不足之处：误用检测技术 的检全率不高，而异常检测技术则存在误检率过高的问题。 本文提出的基于程序行为分析的入侵检测技术系统则克服了这些问题。系统采用了 LKM技术来实现有效的入侵检测，通过修改中断向量表来截获系统调用，生成由短系统调 用序列串构成的程序行为库；同时对每个系统调用的参数进行分析，生成参数长度模型、 参数字符特征分布模型及特殊系统调用参数基于规则的模型。通过从系统调用短序列串和 参数模型两方面来对程序行为进行精确分析，能够有效地规范程序行为，及时发现任何出 现的程序行为异常，检测并阻断入侵的发生。实验证明此技术方法具有检测率高，误报率 小的特点。 最后本文对此入侵检测系统值得改进的地方进行了探讨。 关键词：系统调用短序列串，程序行为库，系统调用参数，参数模型，入侵检测 V工 基于程序行为分析的入侵检澳4技术 基于程序行为分析的入侵检澳4技术 ABSlltACT Abst ract By pre8enting the background of Infor恤ation Security，the root of Vulnerabil{ty and the researeh hotspots of security， this paper analyzes the intrusion detection technology nowadays and concludes it’s limitation．This papor concludes that the traditi。nal翔isuse detection￡echnology has a lo胃rate of detection and cannot detect the unknown a屯tacks，while the traditional anomalous detection technology shows a high false positive rate， Intrusion detection technology based program behavior analysis presented in this paper gets rid of theso 1imitations．Intrusion detection system based progr锄 behavior analysis finisbed in LK醵intercept and captures the system calls by the modificatjon of interrupt vector tables．Progr锄behaVior profile is composed of short sequences of system call．I)uring the progra舶exercise eVery system eall argument is analyzed and arguments 1ength pattern，character di8tribution pattern of argu目ent， pattern based rules of specific sy8tem call arguments are formed， Analyze a program behavior accurately from progr￡lm behaVj。r profile and argument patterns can find any anomaly i籼ediately and stop the in船Ⅵsiong．Experience shdw8 that the technolog了c8Ln detect intrusiIons in a bigh rate of detectilDn and a 1侧 rate of false positive． Fina王ly some improvements of the techno王ogy 8re forecasted in this paper． Key槲ds： short 8equence of system calls， program behavior profile