基于特权进程行为的入侵检测方法研究

论文题目: 基于特权进程行为的入侵检测方法研究

论文类型: 博士论文

论文专业: 计算机应用技术

作者: 苏璞睿

导师: 冯登国

关键词: 入侵检测,异常检测,误用检测,系统调用,人工免疫系统

文献来源: 中国科学院研究生院（软件研究所）

发表年度: 2005

论文摘要: 入侵检测技术是保护网络系统的重要手段之一,基于主机的入侵检测系统主要用于对重点主机实施防护,具有检测效率高和检测准确性高等优势。特权进程是攻击者入侵系统时的主要攻击目标,本文通过深入分析针对特权进程的各种攻击方法及其造成的进程行为差异,从异常检测和误用检测两方面研究了针对特权进程行为的入侵检测方法,并在自动响应技术方面进行了探讨性研究。 论文主要取得以下成果:第一,对正常进程和入侵进程进行了对比分析,并对不同的异常行为提出了不同的检测方法;第二,提出了新的基于进程行为监控的检测模型,融合了误用检测和异常检测两种检测技术,充分利用了二者优势,弥补了各自的缺陷和不足;第三,异常检测中,研究了多种检测方法,提出了基于遗传算法的检测模型、基于序列特征提取的检测模型和基于非层次聚类的无监督检测模型,其中基于非层次聚类的无监督检测模型具有对训练数据要求低,生成的正常行为轮廓质量高等优点;第四,首次提出了进程轮廓的实时更新算法,更有利于确保正常行为轮廓与实际应用环境的一致性,改善正常行为轮廓质量;第五,异常检测中,引入了滤噪函数,降低了误报率;第六,提出了新的误用检测算法,提出了一套完整的基于系统调用相关属性的误用描述规则,可详细描述进程异常行为特征,实施误用检测;第七,针对监控特权进程的特殊性,提出了多种可能的响应方法及实现方式,并深入分析了各自的优势和不足;第八,借鉴生物免疫系统原理,设计了一套人工免疫系统,该系统具有自学习功能,可识别自我和非我,并可在运行过程中不断完善,提高检测准确性

论文目录:

摘要

ABSTRACT

目录

第一章 引言

1．1 概述

1．2 研究背景

1．2．1 网络入侵检测与主机入侵检测

1．2．2 误用检测和异常检测

1．2．3 特权进程监控

1．3 国内外研究进展

1．3．1 基于系统调用序列的检测方法

1．3．2 基于系统调用其他特性的异常检测方法

1．3．3 基于规则检测方法

1．3．4 入侵响应方法

1．4 研究目标

1．5 论文主要贡献

1．6 论文组织

第二章 特权进程行为分析

2．1 典型攻击方法

2．1．1 堆栈缓冲区溢出

2．1．2 框架指针覆盖

2．1．3 大整数溢出

2．1．4 运行进程感染

2．1．5 病毒

2．2 入侵行为和正常行为对比分析

2．3 小结

第三章 入侵检测体系结构研究

3．1 总体框架

3．2 数据源

3．2．1 数据源的评价

3．2．2 数据源的选择

3．2．3 数据采集

3．3 数据分析

3．4 自动响应

3．5 小结

第四章 异常检测研究

4．1 基于遗传算法的异常检测模型(PGBG)

4．1．1 行为轮廓生成算法

4．1．2 检测算法

4．1．3 实验结果

4．2 基于序列特征提取的检测模型(ESC)

4．2．1 匹配函数

4．2．2 行为轮廓生成算法

4．2．3 检测算法

4．2．4 实验结果

4．3 基于非层次聚类的无监督入侵检测模型(UNC)

4．3．1 密度定义

4．3．2 行为轮廓生成算法

4．3．3 检测算法

4．3．4 轮廓的更新

4．3．5 实验结果

4．4 小结

第五章 误用检测研究

5．1 攻击行为描述

5．1．1 描述规则

5．1．2 规则库的组织

5．2 检测算法

5．3 小结

第六章 入侵响应研究

6．1 自动报警

6．2 终止进程

6．3 延迟系统调用执行

6．4 封禁用户

6．5 和其他网络安全设备联动

6．6 小结

第七章 SAIMUS系统的设计与实现

7．1 生物免疫系统原理

7．2 SAIMUS系统结构

7．3 数据采集

7．3．1 Linux系统调用的实现

7．3．2 数据采集设备的设计与实现

7．4 免疫应答

7．4．1 初次免疫应答

7．4．2 异常特征提取

7．4．3 二次免疫应答

7．5 相关工作

7．6 小结

第八章 结论

8．1 总结

8．2 工作展望

参考文献

图表清单

攻读博士学位期间完成的学术论文

攻读博士学位期间参与的著作

致谢

发布时间: 2005-07-08

参考文献

• [1].基于主机的入侵检测方法研究[D]. 田新广.国防科学技术大学2005
• [2].基于机器学习的入侵检测方法研究[D]. 尹清波.哈尔滨工程大学2007
• [3].基于数据挖掘的入侵检测方法及系统研究[D]. 齐建东.中国农业大学2003
• [4].基于支持向量机和贝叶斯分析技术的入侵检测方法研究[D]. 邬书跃.中南大学2012
• [5].基于先进计算的智能入侵检测系统研究[D]. 李玉萍.中国地震局地球物理研究所2012

相关论文

• [1].基于系统调用的异常入侵检测技术及IDS扩展功能的研究[D]. 徐明.浙江大学2003
• [2].安全审计与基于审计的入侵检测[D]. 张相锋.中国科学院研究生院（软件研究所）2004
• [3].智能网络入侵检测系统关键技术研究[D]. 邹涛.国防科学技术大学2004
• [4].可视化入侵检测研究[D]. 郭陟.清华大学2004
• [5].恶意代码机理与防范技术研究[D]. 文伟平.中国科学院研究生院（软件研究所）2005
• [6].移动Ad Hoc网络入侵检测与主动响应机制研究[D]. 易平.复旦大学2005
• [7].基于免疫遗传算法的入侵检测技术研究[D]. 张凤斌.哈尔滨工程大学2005

标签：入侵检测论文;  异常检测论文;  误用检测论文;  系统调用论文;  人工免疫系统论文;