基于系统调用状态机的异常入侵检测方法-计算机应用专业论文.docx

浙江大学硕士学位论文摘要 浙江大学硕士学位论文 摘要 自从计算机问世以来，安全问题就一直存在。特别是随着Internet的迅速扩 张和电子商务的兴起，人们发现保护资源和数据的安全，让他免受来自恶意入侵 者的威胁是件相当困难的事。在这种需求背景下，入侵检测系统(IDS)应运而 生。入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术 等有机地融合在一起，通过分析被检测系统的审计数据或直接从网络捕获数据， 发现违背安全策略或危及系统安全的行为和活动。 在入侵监测这个锺壁内!墨堂捡型星=仝重要公支。这种模型的特点是首先 总结正常操作应该具有的特性，例如特定用户的操作习惯与某些操作的频率等。 在得出正常操作的模型之后，对后续的操作迸行监视，一旦发现偏离正常模型， 则认为发生了入侵。系统调用是入侵监测系统的一种非常有效的输入，我们可以 使用～种模型描述系统调用的序列关系，从而进行异常入侵检测。 本文论述了_逊堑殴量堂垒堡堕型查鲨。该方连焦旦丕缍塑星堡盘捡冬：旦 建矍壁史里錾塑查堕坚查鱼垫熟!一然唇型旦运鱼垫塑坌型△堡曼鲑!。喀直鲨鋈旦 以莲婴猩庄遗塑塑焦霎：堡!堡堕垡毋。实验证明，该算法对于多种主流入侵方 式有良好的检测效果。 关键字：入侵检测、异常检测、系统调用、有限状态自动机、函数堆栈 第2页 塑坚奎兰里圭兰堡丝苎ABSTRACT 塑坚奎兰里圭兰堡丝苎 ABSTRACT The problem of computer security has e)dsted since the naissance of computer．With the rapid development of Internet and electric commerce， people find its becoming more and more difficult to protect the digital resource from intrusion．Intrusion Detection System(IDSl is invented to solve this problem．Its a mixture of digital processing，audit，pattern matching and stat． Through analyzing the audit digital or the network packet，It can find the atcack to the computer and network． In the filed of infusion detection，anomaly detection is an important branch It first summarizes the actions of a program and creates the profit．and then monitors the program．1f the following actions don’t match the profit。maybe an attack is being done．The system call is an effective input for the IDS，we can use it to set uD a model to describe the program for anomaly detection． This paper will introduce a new anomalous intrusion detecaon method．It uses system calls as input，and creates a FSA for the functions in the program． Then the FSA is used to detect the attack．Moreoveq It can find the place where the vulnerability exists in the program．This can help to alter the source program．Experiment has proved this method is effecnve for many intrus{an events． Key words：Intrusion Detection，Anomalous Intrusion Detection，System Cal Finite—State Automation Machine，Function Stack 第3页 浙江大学硕士学位论文第一章序论 浙江大学硕士学位论文 第一章序论