入侵检测技术是一种主动的信息安全保障措施,已成为现代计算机系统安全技术中的研究热点。它的主要任务是按照一定的策略,对网络的运行状况进行监视,尽可能发现各种攻击行为,以保证网络系统资源的机密性、完整性和可用性。本文首先陈述了入侵检测的研究背景和发展,以及入侵检测系统(IDS)的概念、原理和分类。其次,重点分析了基于系统调用的入侵检测方法。本文针对目前各种基于系统调用的入侵检测技术进行了研究与比较,指出现有算法的不足之处:采用固定长度的系统调用序列。为克服不足之处,本文采用变长的系统调用序列检测方法,将Teiresias组合模式发现算法,这一典型的变长模式生成算法应用到系统调用入侵检测中。高效的模式匹配算法能够显著提高入侵检测效率。本文在分析了几个常用多模式匹配算法的基础上,根据理论[32]指导对Wu-Manber算法进行了改进,结合了Quick-Search匹配算法的思想,在预处理阶段构造了一个Head表,增加了WM算法的跳转距离,实验表明改进算法可以有效地减小匹配步数,提高匹配效率。最后,在Unix环境中构建了一个基于变长系统调用序列模式的入侵检测模型,设计并实现了数据收集模块、正常行为模式建立模块、检测模块。在数据收集模块中,采用LKM技术收集程序执行的系统调用序列。模式抽取模块采用基于Teiresias算法的变长模式抽取方法构建程序正常行为模式库。检测模块采用改进的WM算法进行入侵判断。利用新墨西哥大学提供的仿真数据进行了实验测试,实验表明,本文提出的入侵检测模型能够有效降低模式库规模,提高入侵判断效率。