基于系统调用的异常入侵检测技术及IDS扩展功能的研究-计算机科学与技术专业论文.docx

浙江大学博士学位论文摘要 浙江大学博士学位论文 摘要 信息安全的内涵在不断地延伸，从最初的信息保密性发展到信息的完整性、 可用性、可控性和不可否认性，进而又发展为攻击、防范、检测、管理、评估 等多方面的基础理论和实施技术。另一方面，计算机技术发展和互联网的普及， 伴随的是网络入侵和攻击的频频发生。而且随着技术的进一步发展，其手段和 方法也是越来越高明，几乎到了无孔不入的地步。因此入侵检测已经越来越成 为信息安全系统中不可缺少的技术。入侵检测技术研究也是近年来信息安全研 究领域的一个热点。本文将对入侵检测的核心技术异常检测新模型， IDS(Intrusion Detection systems)的数字证据功能和IDS的警报及其日志的安全 事件离线相关性分析技术，三个方面进行了研究。主要研究的内容如下： 1．提出了一个基于系统调用宏的异常检测模型。把正常程序行为产生的系 统调用迹中大量有规律的重复出现的系统调用短序列看成一个个独立的 基本单位(宏)，并以宏为基本单位构建一个基于马尔可夫链的异常入侵 检测模型。通过与基于系统调用的一阶和二阶马尔可夫链异常检测模型 的比较研究得出结论：基于系统调用宏的马尔可夫链模型在检测性能要 高于一阶和二阶马尔可夫链模型：而在存储要求上稍高于一阶马尔可夫 链模型，但低于二阶马尔可夫链模型：虽然在训练时间上是一阶和二阶 马尔可夫链模型若干倍，但实时检测速度要高于它们两者。 2．提出了一个两层马尔可夫链异常入侵检测模型。由于服务进程的行为不 仅于依赖进程的代码也依赖于当前的输入，所以一个服务进程的行为可 以被看成由一个高层能体现进程进入不同状态的马尔可夫链组成(对应 于服务进程接收到的请求或命令)，然后在每一个特定的状态下是由另一 个低层系统调用序列组成马尔可夫链。这些两层的马尔可夫链用于构建 服务进程的正常行为轮廓和异常检测。实验的结果清楚表明两层马尔可 夫链模型的检测性能要好于传统的马尔可夫链模型。利用两层马尔可夫 链模型，异常将在异常真正发生的局部处被检测出，即检测出的异常将 被限制在相应的请求内，而不是整个系统调用迹。 3．提出了一个基于系统调用分类的异常检测模型。系统调用按照功能和危 险程度进行了分类，该模型只是针对每类中的关键调用(即危险级别为l 的系统调用)。在学习过程中，动态地处理每个关键调用，而不是对静态 的系统调用)。在学习过程中，动态地处理每个关键调用，而不是对静态 数撰遴牙数据控掇鼓绞毒卡，麒瑟爵叛实凌增量学习。霹醇遴逶颈定义麓 则和精练过程可以有效地减少规则数据库中的规则数日，缩减了检测过 程中蔑裂鹃器配对阀。实验结果清楚建表爨梭灞摸登可酸枣效饺溺遗 R2L、R2R和L2R型攻击，而且检测出的异常行为将被限制在相应的请 求蠢褥不是疑个系统调稻遥。检潮槿鍪适合予针对特权进程f特剐楚纂于 请求一反应型的特权进程)的异常入侵检测。 4．在邋合生成数字证据的密码学技术研究中撬出了：一个集成数据簦名和 容镄鼓术并8％在加密、传送、解密秘认证三个过程中实现容错的RSA般 密方案；一个基于零知识证明的身份认证协议：基于零知识证明的数字 签名方寨。这些密戳学技术必IDS§§产生会法敦数字迂据掇供了可嚣携 技术手段。 5。重耨设诗了鑫恚实体察麓密密锈产您方法袋扩震葶掰溪强了安全鑫恚SK 协议并使之与IDS系统结合，使∞S成为可靠的数字证据来源。在保证 原协议安全性条静下疆F使凌入侵者控翻了产生窝恚记录瓠器静请嚣下， 也能防止其阅读和寅旌不可侦测地篡改在这之前产生的记录)，新的协议 能嘏据IDS系统的特点可阻更加灵活有效地按数字证据记豢号、时间、 主体、客体嗣类型或他们任意的组食来进罩子查证阅读证据记录的权限申 请与分配。在查证阅读证据记录的权限申请与分配方面新的协议与SK 协议翅比爨教灵活期舞合实际闻题褥且通绥基更少。基本恩想是剥罔加 密、身份认证和数字签名等密码学技术来对IDS产生的警报及其臼怎进 行保护，馊它霞】将来§§成必法庭上的会法渡据搀好技术上载准备。 6．提出了一个基于IDs产生的警报及其日志上的事件相关性分析模型。定 义了安全事件之阉不蔽赣予物理辩瓣鼗魏零矮次廖关系——蔫于关系移 其传递闭包——先于关系，并给出了前于关系、先于关系凝其逻辑时钟 的数学模蛩及它{fj之间的鞠互关系。剩用该事件旗嫠可鞋精确建实现基 于源、目的和时间的事件关联性分析，事彳牛文件的台并和拆分，拳件间 的豳果关系分析，攀件的抽象和物理对间戳错误韵事件发擞时间区间估 计镰操作。 关键词：信息安全，入侵检测，异常检测，系统调用，数字诞据，相关性 n 溉江走学博士学值论文Abstract 溉江走学博士学值论文 Abstract The infomlation security connotation has be