随着信息技术的飞速发展,各种病毒、木马和黑客的攻击越来越频繁。文件系统作为存储系统的核心,其安全性至关重要。系统调用作为内核和用户间的功能接口,大部分对文件系统的操作都要通过它来执行,其执行序列可以反映出文件系统的操作情况。鉴于当前主流的入侵检测工具均没有为文件系统提供细粒度的入侵检测,从而给出了基于系统调用的文件系统入侵检测原型系统的设计与实现。入侵检测原型系统分为入侵数据收集和入侵数据分析两部分。入侵数据收集部分设计实现了一个系统调用日志系统来收集系统调用信息。选用了对文件系统威胁最大的15个系统调用作为监控对象,采用在内核中建立系统调用钩子函数的方法实现对系统调用的截获,使用Netlink套接字实现内核和用户空间的数据交换。入侵数据分析部分基于一个开源的入侵检测框架实现了日志信息读取器、解码器和分析器。日志读取器针对系统调用信息的存储格式独立设计实现。日志解码器使用入侵检测框架的解码功能接口,创建了多层次的解码器结构。日志分析器采用时序序列匹配算法作为入侵检测算法,并实现了邮件告警的入侵响应措施。收集了当前流行的入侵脚本,对原型系统和Linux主机入侵检测系统LIDS进行对比测试,验证了原形系统的有效性。通过对比分析,证实了原型系统为文件系统提供了一个细粒度的入侵检测。根据典型的应用案例,设计了负载测试,证实了入侵检测原型系统所产生的额外负载在可接受的范围内。