Linux进程行为分析模型的研究
发布时间:2024-05-25 10:38
本文介绍了当前的安全形势,强调了通过监控进程的行为进行入侵检测的重要性。文章的目的是提出一种基于系统调用参数信息的进程行为分析模型。 在进程的行为数据采集阶段,分析了四种流行的内核层次拦截系统调用的方法并总结了它们的缺点,提出了通过修改中断向量表拦截系统调用的方法,并利用LKM技术对其进行了实现。为了提出更好的检测模型,对当前基于进程系统调用序列的STIDE、KNN、HMM等经典模型进行了实验和分析,总结了这些模型的优缺点。通过分析这些模型的缺点,本文提出了基于系统调用参数信息的进程行为分析模型——A-LERAD;A-LERAD模型将系统调用参数、系统调用返回值和错误状态加入了模型,使用系统调用和系统调用的参数信息对进程的行为进行表征。为了得到进程的正常行为库,提出了基于规则学习的算法LERAD。LERAD算法能够将系统调用的参数信息加入到规则中,生成进程的正常行为规则集。训练时,通过规则学习算法LERAD生成进程正常行为的最小规则集;检测阶段利用该规则集对进程的行为进行检测,如果异常度超过了预设的阈值,那么该行为被认为是异常的。 为了证明本文提出的进程行为分析模型的正确性,本文又提出...
【文章页数】:90 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
目录
第一章 绪论
1.1 研究背景
1.2 国内外研究现状
1.2.1 基于系统调用序列的分析方法
1.2.2 基于系统调用安全特性的分析方法
1.3 论文的研究内容
1.4 论文的组织结构
第二章 进程行为提取方法的研究
2.1 进程行为的定义
2.1.1 进程与系统调用及内核之间的关系
2.1.2 系统调用过程分析
2.2 进程监控技术
2.2.1 用户层的监控技术
2.2.2 内核层的监控技术
2.2.2.1 LKM 技术
2.2.2.2 Linux 安全模块
2.2.3 当前进程监控存在的不足
2.3 系统调用拦截技术的研究与分析
2.3.1 系统调用表法拦截系统调用
2.3.2 修改内核函数法拦截系统调用
2.3.3 利用 strace 获取系统调用
2.3.4 利用 ptrace 拦截系统调用
2.3.5 各种系统调用拦截技术优缺点分析
2.4 修改中断向量表法拦截系统调用
2.4.1 Linux 系统的中断机制分析
2.4.2 修改 Linux 系统的中断向量表
2.4.3 通过中断向量表截获系统调用的实现
2.5 本章小结
第三章 基于系统调用序列的进程行为分析模型的研究
3.1 通过分析系统调用序列来分析进程行为的可行性
3.1.1 系统调用的序列分析
3.1.2 系统调用的关联分析
3.2 基于 STIDE 的异常检测模型
3.2.1 进程正常行为库的建立
3.2.2 进程异常行为的检测
3.2.3 实验数据与结果分析
3.3 基于 KNN 算法的异常检测模型
3.3.1 KNN 算法的理论基础
3.3.2 基于 KNN 算法异常行为检测
3.3.3 实验数据与结果分析
3.4 基于 HMM(隐式马尔科夫模型)的异常检测模型
3.4.1 HMM 介绍
3.4.2 正常行为库的构建
3.4.3 基于 HMM 的异常行为检测
3.4.4 实验数据及结果分析
3.5 基于系统调用序列的进程行为分析模型的总结
3.5.1 基于系统调用序列的进程行为分析方法的不足
3.5.2 其他建模方法的探索
3.6 本章小结
第四章 基于系统调用参数信息的进程行为分析模型
4.1 基于系统调用参数信息的异常检测模型的研究现状
4.1.1 系统调用参数长度模型
4.1.2 系统调用参数字符分布模型
4.1.3 系统调用参数特殊规则模型
4.1.4 当前参数模型的不足
4.2 基于系统调用参数信息的异常检测模型的特征提取算法
4.2.1 LERAD 关联规则学习算法
4.2.2 基于系统调用的 LERAD 规则学习算法
4.3 基于系统调用和参数的异常检测模型
4.3.1 基于系统调用序列的 LEARD 模型:S-LERAD
4.3.2 基于系统调用参数的 LEARD 模型:A-LERAD
4.3.3 融合系统调用序列和当前系统调用参数信息的方法:M-LERAD
4.3.4 融合系统调用序列和所有系统调用参数信息的方法:M*-LERAD
4.4 实验评估
4.4.1 实验环境配置
4.4.2 实验数据源与实验过程
4.4.3 基于系统调用序列的 LERAD 方法与 t-stide 的对比
4.4.4 基于系统调用序列的方法与基于系统调用参数信息方法的对比
4.4.5 NULL 属性值的作用的分析
4.5 异常行为分析
4.6 A-LERAD 模型的空间复杂度和时间开销
4.7 本章小结
第五章 总结与展望
5.1 主要工作和创新点
5.2 基于系统调用参数信息模型的改进方向和展望
5.3 本章小结
致谢
参考文献
攻硕期间取得的研究成果
本文编号:3982009
【文章页数】:90 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
目录
第一章 绪论
1.1 研究背景
1.2 国内外研究现状
1.2.1 基于系统调用序列的分析方法
1.2.2 基于系统调用安全特性的分析方法
1.3 论文的研究内容
1.4 论文的组织结构
第二章 进程行为提取方法的研究
2.1 进程行为的定义
2.1.1 进程与系统调用及内核之间的关系
2.1.2 系统调用过程分析
2.2 进程监控技术
2.2.1 用户层的监控技术
2.2.2 内核层的监控技术
2.2.2.1 LKM 技术
2.2.2.2 Linux 安全模块
2.2.3 当前进程监控存在的不足
2.3 系统调用拦截技术的研究与分析
2.3.1 系统调用表法拦截系统调用
2.3.2 修改内核函数法拦截系统调用
2.3.3 利用 strace 获取系统调用
2.3.4 利用 ptrace 拦截系统调用
2.3.5 各种系统调用拦截技术优缺点分析
2.4 修改中断向量表法拦截系统调用
2.4.1 Linux 系统的中断机制分析
2.4.2 修改 Linux 系统的中断向量表
2.4.3 通过中断向量表截获系统调用的实现
2.5 本章小结
第三章 基于系统调用序列的进程行为分析模型的研究
3.1 通过分析系统调用序列来分析进程行为的可行性
3.1.1 系统调用的序列分析
3.1.2 系统调用的关联分析
3.2 基于 STIDE 的异常检测模型
3.2.1 进程正常行为库的建立
3.2.2 进程异常行为的检测
3.2.3 实验数据与结果分析
3.3 基于 KNN 算法的异常检测模型
3.3.1 KNN 算法的理论基础
3.3.2 基于 KNN 算法异常行为检测
3.3.3 实验数据与结果分析
3.4 基于 HMM(隐式马尔科夫模型)的异常检测模型
3.4.1 HMM 介绍
3.4.2 正常行为库的构建
3.4.3 基于 HMM 的异常行为检测
3.4.4 实验数据及结果分析
3.5 基于系统调用序列的进程行为分析模型的总结
3.5.1 基于系统调用序列的进程行为分析方法的不足
3.5.2 其他建模方法的探索
3.6 本章小结
第四章 基于系统调用参数信息的进程行为分析模型
4.1 基于系统调用参数信息的异常检测模型的研究现状
4.1.1 系统调用参数长度模型
4.1.2 系统调用参数字符分布模型
4.1.3 系统调用参数特殊规则模型
4.1.4 当前参数模型的不足
4.2 基于系统调用参数信息的异常检测模型的特征提取算法
4.2.1 LERAD 关联规则学习算法
4.2.2 基于系统调用的 LERAD 规则学习算法
4.3 基于系统调用和参数的异常检测模型
4.3.1 基于系统调用序列的 LEARD 模型:S-LERAD
4.3.2 基于系统调用参数的 LEARD 模型:A-LERAD
4.3.3 融合系统调用序列和当前系统调用参数信息的方法:M-LERAD
4.3.4 融合系统调用序列和所有系统调用参数信息的方法:M*-LERAD
4.4 实验评估
4.4.1 实验环境配置
4.4.2 实验数据源与实验过程
4.4.3 基于系统调用序列的 LERAD 方法与 t-stide 的对比
4.4.4 基于系统调用序列的方法与基于系统调用参数信息方法的对比
4.4.5 NULL 属性值的作用的分析
4.5 异常行为分析
4.6 A-LERAD 模型的空间复杂度和时间开销
4.7 本章小结
第五章 总结与展望
5.1 主要工作和创新点
5.2 基于系统调用参数信息模型的改进方向和展望
5.3 本章小结
致谢
参考文献
攻硕期间取得的研究成果
本文编号:3982009
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3982009.html
