论文摘要
由于计算机安全问题越来越突出,入侵检测已成为重要的研究方向,其中异常检测由于其能检测到未知的攻击,已成为研究的重点。目前基于主机的程序行为异常检测的研究多集中在以系统调用作为数据源建立模型进行行为鉴别的基础上。在分析各种异常检测方法的基础上设计了一种采用在Linux内核2.6.9开始支持的LSM(Linux安全模块)数据作为数据源,针对这些数据建立隐马尔可夫模型进行异常检测的方法。由于LSM专为Linux安全性而设计,其数据提取点位于系统调用或内核函数内,分析表明LSM数据与系统调用相比提供的信息更详细,更与安全相关。在此基础上详细研究了如何针对应用程序从Linux系统内核提取其LSM序列,以及如何对数据预处理。分析了如何对截获的LSM序列进行检测前的离线训练以得到隐马尔可夫模型参数,采用了一种新的检测算法对被监控程序的LSM序列进行实时的异常检测。为了验证LSM数据源的有效性和检测效果,设计并实现了一种Linux平台下提取被监控程序LSM数据来建立隐马尔可夫模型的异常检测原型系统HIDS。HIDS实现中采用了netlink等技术,主要包含四个模块:工作在内核空间的LSM监控模块、内核和用户空间通讯模块、工作在用户空间的HMM事件分析模块、检测记录与响应模块。对HIDS进行了负荷性能测试、训练实验和模拟攻击实验。实验结果表明:LSM作为异常检测的数据源是有效的,对Linux平台下的LSM数据建立隐马尔可夫模型进行异常检测的方法可行,并能取得很好的检测效果。