论文部分内容阅读
随着信息技术和网络技术的发展,网络环境变得越来越复杂,信息安全问题日益严峻。入侵检测作为一种积极主动的安全防护技术,也越来越受到人们的关注。
目前大多数程序都是使用高级程序语言编写的,都使用操作系统函数库提供的函数。如果能够得知一个程序的库函数调用情况就能很直接的知道程序的意图。我们认为使用应用程序所调用的库函数短序列所构造出的特征库可以用于入侵检测。
本文的主要工作就是实现了一种以库函数调用作为数据源的基于主机的入侵检测系统,用于检测来自内部和外部的攻击。这套入侵检测系统主要由审计数据采集模块、审计数据发送模块、正常行为特征库的建立和管理模块,异常检测模块和入侵响应模块组成。
本文使用了操作系统函数库的覆盖技术和可加载内核模块(LKM)技术来截获程序产生的库函数调用信息和程序进程信息,并使用程序产生的库函数调用信息组成短序列来构造正常行为特征库。在检测过程中,使用短序列匹配的方法进行入侵检测中的数据分析。同时,本文还引用了信息论中条件熵的概念。条件熵可以反映审计数据的序列特征,在本文提出的入侵检测系统中,我们通过计算库函数调用短序列的条件熵来确定短序列的合适长度,从而构建出更加稳定、快速的异常检测模型。
通过使用大量的攻击程序进行测试,本文提出的基于库函数调用的入侵检测系统对于外部攻击、内部攻击、缓冲区溢出攻击等具有良好的检测效果。