论文部分内容阅读
随着Internet的快速发展,信息安全问题越来越成为一个严重的问题。不象网络发展的初期阶段,入侵者仅仅局限于专家级知识的计算机高手,现在Internet上到处可以找到各种各样的黑客工具,使得入侵者可以是任何一个稍微有些计算机知识的人。这样使得计算机系统和网络基础设施面临着比以往任何时候都多的威胁。
入侵检测技术是信息安全主动防御技术的关键技术之一,目标是主动的辨识并阻止针对系统的任何攻击,但是不影响任何系统的正常活动。入侵检测技术可以分为误用检测和异常检测两类。误用检测希望能够将观察到的现象和已知的入侵模式进行匹配。异常检测希望能够建模系统的正常模式,任何偏离正常模式的行为都认为是可疑的。
异常检测技术依赖于一些可以观察的数据来区分正常和异常。在1996年,美国新墨西哥大学计算机科学系的Forrest教授等提出了通过检测活动特权进程产生的系统调用来进行异常检测的方法。本文也对此进行了研究,其工作主要有以下几点:
·对现有的使用系统调用进行异常入侵检测的方法作了综述和分类,分别是基于简单枚举方法的未来对方法、延时嵌入序列方法,基于数据挖掘技术的RIPPER方法,基于概率统计学原理的k最近邻文本分类方法和马尔科夫模型失配率方法,以及基于自动机理论的确定有限自动机方法、有限自动机自动学习方法和隐马尔科夫模型方法。
·对上述的方法从入侵检测能力、模型训练代价和运行时代价等几个方面进行了比较,并指出(1)在线实时检测方法中,延时嵌入序列方法是最简单有效的方法,可以作为其他方法比较的基方法,隐马尔科夫模型方法是目前检测效果最好的方法,但是训练代价昂贵,有限自动机自动学习方法是目前最有希望的发展方向,而确定有限自动机方法有待自动机理论的进一步发展的支持;(2)在离线检测方法中,k最近邻文本分类方法和马尔科夫模型失配率方法都存在着计算量太大的缺点。
·出于高效率实时在线进行异常检测的目的,提出了针对系统调用序列的马尔科夫链的一种新方法,即使用序列联合概率进行入侵检测,并使用这种方法进行了大量的实验,试验结果证明这种方法具有检测效果好,运行代价低、训练代价低的优点。然后,在这种方法的基础上,我们又进行了改进,即按照进程类建立马尔科夫链模型,然后使用基于进程类的马尔科夫链模型进行异常检测,从而提高了检测率,降低了误报率。