基于神经网络的异常入侵检测系统
免疫-BP神经网络的入侵检测技术系统设计
Ke wo d : n r s n d t c o se ; e r e o k a o t m; mmu eag r h y r s I t i e e t n s tm BP n u a n t r l r h u o i y l w gi I n lo t m i
安全 ;吴勇华 ( 9 4 ) 18 一 ,男,江西九江人 ,广西 区政府 办公斤 电子政务 中心硕 士 ,研 究方向为智能计算 、嵌入 式系统及软件 。
2 4.
.
系,而无需事前揭示描述这种映射关系的数学方程。它的学
习规则是使用最快速的下降法,通过反向传播来不断调整网 络的权值和阈值 ,使 网络的误差平方和最小 。 P神经网络模 B
总第 1 4卷 1 8期 5 21 0 2年 1 0月
大 众 科 技
P uar i c & Te h oo y op l en e Sc c n lg
Vo .4 No 1 L1 .0 0co e 2 t b r 01 2
免疫- P神经 网络 的入侵检测 技术系统设计 B
19 9 8年美 国林肯实验室模拟美国空军局域网收集而来,随后 经过数据挖掘等技术对 以上的数据集 进行特 征分析和数据预 处理 , 形成了一个新的数据集 。由于数据集用于 19 9 9年举行
的 K D C P竞赛中 ,成为著名的 K D 9数据集 。该数据集收 D U D9 集 了 9周 的 网络 连 接 和 系 统 审 计 数 据 ,仿 真 各 种 用 户类 型 、 各种不 同的网络流量和攻击手段 ,使它就像一个真实的网络 环境 。该数据被分为两个部分 :约 5 0 0 0 0多个训练数据 ,0,0 和 20 0 0 0个测试数据 ,每条数据 为一个 网络连接 。每个 ,0,0 网络连接被标记为正常 ( o m 1 n r a )或异常 ( t a k ,异常类 a tc) 型被细分 为 4大类共 3 9种攻击 类型,其中 2 2种攻击类型 出 现在 训练集 , 另有 1 种未 知攻击类 型出现在测试集 。 四大 7 这 异常类 型是: 拒绝服务攻击 D S 远程主机 的未授权访 问 R L O、 2、 未授 权 的本 地超 级 用 户特 权 访 问 U R 2 、端 口监 视 或扫 描
网络安全理论与时间-教案-第4讲入侵检测系统-20180531
金陵科技学院教案【教学单元首页】第 1 次课授课学时 4 教案完成时间: 2018.2授课内容内容备注1入侵检测概述1.1入侵检测的主要作用:(1)检测和记录网络中的攻击事件,阻断攻击行为,防止入侵事件的发生。
(2)检测其他未授权操作或安全违规行为。
(3)统计分析黑客在攻击前的探测行为,管理员发出警报。
(4)报告计算机系统或网络中存在的安全威胁。
(5)提供有关攻击的详细信息,帮助管理员诊断和修补网络中存在的安全弱点。
(6)在大型复杂的计算机网络中部署入侵检测系统,提高网络安全管理的质量。
1.2入侵检测的定义:(1)入侵检测:不仅包括攻击者非法取得系统的控制权的行为也包括他们对系统漏洞信息的收集,并由此对信息系统造成危害的行为。
(2)入侵检测系统:所有能够执行入侵检测任务和实现入侵检测功能的系统都称为入侵检测系统(Intrusion Detection System, IDS)。
包括软件系统或软、硬件结合的系统。
1.3入侵检测系统模型(1)数据收集器:探测器,主要负责收集数据,包括网络协议数据包、系统日志文件、系统调用记录等。
(2)检测器:分析和检测入侵的任务并向控制器发出警报信号。
(3)知识库:为检测器和控制器提供必需的数据信息支持。
(4)控制器:根据警报信号人工或自动地对入侵行为做出响应。
1.4 IDS的主要功能:(1)防火墙之后的第二道安全闸门。
(2)提高信息安全基础结构的完整性。
2.2基于异常检测原理的入侵检测方法:(1)统计异常检测方法(较成熟)(2)特征选择异常检测方法(较成熟)(3)基于贝叶斯网络异常检测方法(理论研究阶段)(4)基于贝叶斯推理异常检测方法(理论研究阶段)(5)基于模式预测异常检测方法(理论研究阶段)2.3基于误用检测原理的入侵检测方法:(1)基于条件的概率误用检测方法(2)基于专家系统误用检测方法(3)基于状态迁移分析误用检测方法(4)基于键盘监控误用检测方法(5)基于模型误用检测方法优点:准确地检测已知的入侵行为。
《基于深度学习的入侵检测方法》
《基于深度学习的入侵检测方法》一、引言随着信息技术的快速发展,网络安全问题愈发凸显。
入侵检测作为网络安全的重要手段之一,能够有效发现并防范各类网络攻击。
近年来,深度学习技术在多个领域取得了显著的成果,其强大的特征提取能力和模式识别能力为入侵检测提供了新的思路。
本文旨在探讨基于深度学习的入侵检测方法,以提高网络安全防护能力。
二、相关技术概述2.1 入侵检测系统入侵检测系统(IDS)是一种主动防护技术,通过对网络流量或主机系统进行监控,发现并报告可疑行为或攻击行为。
IDS 主要由数据采集、预处理、特征提取、模式匹配等部分组成。
2.2 深度学习深度学习是机器学习的一个分支,其通过模拟人脑神经网络的工作方式,实现特征的自动提取和模式的深度学习。
常见的深度学习模型包括卷积神经网络(CNN)、循环神经网络(RNN)等。
三、基于深度学习的入侵检测方法3.1 数据集与预处理首先,需要收集大量的网络流量数据或主机日志数据,构建入侵检测所需的数据集。
然后,对数据进行预处理,包括数据清洗、格式转换、特征提取等步骤,以便于后续的模型训练。
3.2 模型选择与构建根据数据集的特点,选择合适的深度学习模型。
常见的模型包括卷积神经网络(CNN)、长短期记忆网络(LSTM)等。
构建模型时,需要设置适当的网络结构、激活函数、优化算法等参数。
3.3 模型训练与优化使用预处理后的数据集对模型进行训练,通过调整模型参数、学习率、批处理大小等优化策略,提高模型的性能。
同时,为了防止过拟合,可以采用早停法、dropout等方法对模型进行优化。
3.4 入侵检测与报警将训练好的模型应用于实际网络环境中,对网络流量或主机系统进行实时监控。
当模型检测到可疑行为或攻击行为时,及时发出报警,以便于安全人员及时处理。
四、实验与分析为了验证基于深度学习的入侵检测方法的有效性,我们进行了大量的实验。
实验结果表明,该方法在多种类型的攻击行为检测中均取得了较高的准确率和较低的误报率。
浅析基于神经网络的入侵检测技术
它与正常用户的使用有明显的不同 , 么检测系统就会将这样 的 那 活 动 视 为 入 侵 。误 用 入 侵 检 测 是 事 先 对 已 知 的 入 侵 方 式 进 行 定 义 , 将 这 些 方 式 写 进 系统 中 , 网 络 上 检 测 到 的攻 击 与 行 检 测 , 种模 型 可 以 分 为 异 常 这
点 。网 络 攻击 方 法层 出不 穷 , 入侵 手 段 也 不 断 更 新 , 得 目前 的防 使 火 墙 等 被 动 的 网络 安 全 机 制 对 许 多 攻 击 难 以检 测 , 且 防 火 墙 对 而
a t ca n u a n t r s n on u d a ug s At a t h u h rp it o tte d v lp n e d o ei tui n d tc o e h i u r f i e rl ewo k d p i t o ti a v n e. i l i a s s t s te a t o o n u h e eo me tt n ft r s e e t n tc n q e l . s r h n o i
中图分类号 : P 9 T 33
文献标识码 : A
文章编号 :0 9 3 4 (0 62 — 0 6 0 1 0 — 0 42 0 )6 0 4 - 1
LIW e-c o i ha
Si l ay igt e It so tcinTe h iu a e nArf il u a t k mpe An lsn h nr in Dee t c nq e B s d o ti a u o ic Ne r l Newors
m t ur e ' efor. h
Ke r s n t o k sc rt; tu in i t s n d tci n at ca n u a n t o k y wo d : e w r e u yi r s ; r i e e t ;r f i e rl e i n o nu o o i l i w r
基于RBF神经网络的多级入侵检测研究
Vo -3 l .No 6 3 . No . 0 6 v ,2 0
基于 R F神经 网络 的多级 入侵检测研 究 B
李丽芬
( 北 电力 大 学 计 算 机 科 学 与技 术 学 院 ,河 北 保 定 0 l0 ) 华 7 0 3
摘要:为了 将误用检测技术和异常检测技术结合起来同时应用于入侵检测系统, 提出了多级结构的神经网
关键词:入侵检测系统;径向基函数;神经网 络 P 9. 0 文献标识码 :A 文章编号: 10 -6 l(0 6 60 8-4 0 729 2 0 )0 -0 50
M u t lv l t u t r tu i n d t ci ns se u i gRBF n u a e wo k li e e r c u ei r so ee to y tm sn - s n e rl t r s n
L L fn l ie - (co l f o ue S i c dT cn lg , ot hn lc i P we nv ri,B o ig0 10 , ia S h o o C mp t c n e n eh ooy N r C ia e tc o r iesy a dn 70 3 Ch ) r e a h E r U t n
Ab t a t o c mb n s s ee t n tc o o y wi o l ee t n tc n lg o n r so ee t n sr c :T o i e miu e d tc i e h lg t a may d t c i e h o o o n hn o y f r i t i n d t ci u o
而判断是否有网络入侵发生 。
现有 的 I S多数采用专家系统 、 D 统计分析 、 模
基于深度学习的网络入侵检测研究
基于深度学习的网络入侵检测研究网络安全已经成为当下信息化社会面临的重要问题之一。
随着网络攻击日益普及,网络入侵检测逐渐升温成为热点研究领域。
而深度学习作为近年来发展最快的人工智能领域之一,其在网络入侵检测中的应用也成为研究热点。
本文将分为三个部分来探讨基于深度学习的网络入侵检测研究。
一、传统网络入侵检测技术简介网络入侵检测是指通过检测网络流量中异常行为,从而判断网络是否被入侵。
在传统技术中,入侵检测主要分为两种方式:基于特征分析的方法和基于规则的方法。
基于特征分析的方法需要先确定正常的网络流量行为,然后根据异常流量行为进行异常检测。
常用的技术包括统计分析、网络流量分析和机器学习等。
基于规则的方法则是通过预先定义的规则对网络流量进行检测。
当网络流量符合某种规则时,将其警报或阻断。
但是,这种传统入侵检测技术存在一些缺点,例如无法对未知攻击类型产生高质量的检测结果、易受攻击者的规避手段和欺骗、管理困难等。
二、深度学习在网络入侵检测中的应用深度学习技术是利用神经网络模型来学习数据的内在表征,具有很好的自适应性和泛化能力。
由于其自适应和自学习能力,深度学习在网络入侵检测有许多创新性的应用。
其中最重要的是使用卷积神经网络(CNN)和循环神经网络(RNN)来处理网络数据。
1. 卷积神经网络在网络入侵检测中的应用卷积神经网络是一种专门用于处理图像的神经网络模型。
但是它同样可以用于处理网络包的载荷(Payload)数据。
一般卷积神经网络结构包括输入层、卷积层、池化层和全连接层。
在网络入侵检测领域,卷积神经网络使用卷积和池化技术来对流量的载荷数据进行特征提取和降维,然后将其传输到全连接层进行分类。
2. 循环神经网络在网络入侵检测中的应用循环神经网络是一种专门处理序列数据的神经网络模型,可以对时间序列或文本序列进行处理,但它同样也可以用于处理网络流量。
循环神经网络通过一个反馈机制来实现,因此可以将上一个时间步的输出传送到下一个时间步的输入中。
基于深度学习的网络入侵检测方法研究
基于深度学习的网络入侵检测方法研究网络入侵是指攻击者利用网络空间漏洞,从而获取敏感信息、破坏系统或者窃取资源。
随着网络技术的不断发展,网络入侵已经成为一种常见的安全威胁。
传统的入侵检测方法主要基于规则匹配、特征识别等技术,具有一定的局限性。
而基于深度学习的网络入侵检测方法则可以通过学习网络流量数据的特征,实现更加精确和高效的入侵检测,本文将介绍基于深度学习的网络入侵检测方法的原理、关键技术、应用现状以及未来发展前景。
一、基于深度学习的网络入侵检测方法的原理基于深度学习的网络入侵检测方法基于神经网络进行建模,通过学习网络流量数据的特征,实现了对异常流量的检测。
具体来说,该方法分为两个阶段:模型训练和入侵检测。
首先是模型训练阶段。
在这个阶段中,首先需要构建深度神经网络的模型架构,然后使用标记的数据集对模型进行训练。
其中标记的数据集是指标注了正常流量和异常流量的网络数据集。
模型通过学习这些标记的数据集,提取并学习数据的特征,建立了一个能够准确反映数据特征的模型。
这个模型训练好以后,就可以用于后续的入侵检测。
其次是入侵检测阶段。
在这个阶段中,该方法将网络流量数据送入已经训练好的深度神经网络模型中,从而得到一个预测结果。
如果模型预测结果表明当前的网络流量数据是异常流量,则会触发警报或者防御措施,从而保护网络安全。
二、基于深度学习的网络入侵检测方法的关键技术基于深度学习的网络入侵检测方法的关键技术主要包括数据预处理,模型的选择和训练,以及模型的评估和调整。
1. 数据预处理在进行深度学习网络入侵检测之前,需要进行数据预处理。
数据预处理可以通过一系列技术来清洗数据、去除噪声和预处理特征。
这可以减少模型的复杂度,提高训练效果。
数据预处理方法主要包括数据标准化、数据降维以及特征工程。
2. 模型的选择和训练选择合适的深度神经网络模型是关键的。
目前,常用的网络模型包括卷积神经网络、循环神经网络和深度信念网络等。
在选择模型之后,需要使用数据集对模型进行训练,并优化模型参数。
基于深度学习的内网入侵检测技术研究
基于深度学习的内网入侵检测技术研究概述:内网安全问题日益凸显,内网入侵成为严重威胁企业网络安全的行为之一。
为了有效检测和防御内网入侵,研究基于深度学习的内网入侵检测技术成为当今网络安全领域的热点之一。
本文将探讨基于深度学习的内网入侵检测技术的研究现状、方法和挑战。
1. 研究现状内网入侵检测技术主要分为基于特征的方法和基于机器学习的方法。
传统的基于特征的方法在提取特征方面存在局限性,无法很好地应对多样性的入侵行为。
而基于机器学习的方法通过学习网络流量日志数据的特征,能够识别出异常流量和恶意行为。
2. 深度学习在入侵检测中的应用深度学习是一种集成多层神经网络的机器学习方法,具有自动学习和表征学习的能力。
基于深度学习的入侵检测技术通过学习大规模网络流量数据,能够提取复杂的特征表示,并自动发现和识别入侵行为。
2.1 网络流量表示基于深度学习的入侵检测技术需要将网络流量数据表示为适用于神经网络的形式。
常用的表示方法包括向量表示、图表示和时序表示等。
这些表示方法能够将网络流量数据转换为可以输入神经网络的向量或矩阵形式。
2.2 深度学习模型常用的深度学习模型包括卷积神经网络(CNN)、循环神经网络(RNN)和变形自编码器(VAE)等。
这些模型能够对网络流量数据进行高效的表示学习和分类判别,并具有较好的性能和鲁棒性。
3. 深度学习方法的挑战尽管基于深度学习的方法在内网入侵检测中展现了出色的性能,但仍然存在一些挑战需要克服。
3.1 样本不平衡问题网络流量数据中异常流量的数量相对较少,导致训练数据存在样本不平衡的问题。
这会影响深度学习模型的性能和准确度。
解决该问题的方法包括欠采样、过采样和生成对抗网络等。
3.2 特征提取和选择网络流量数据中包含大量的信息,如何从中提取并选择与入侵行为相关的特征是一个挑战。
传统方法常常手动选择特征,但难以捕捉复杂的入侵行为。
利用深度学习可以自动学习适应性特征表示,但需要大量的训练数据和计算资源。
一个基于神经网络的入侵检测系统原型的开发
摘
要: 文章介 绍了神经 网络技术在入侵检测上的应 用现状 ,讨论 了 B 神 经网络算 法中存在的一些 问题及改进措施 , P
开发 了一 个基于神经 网络 的入侵检 测 系统的原型. 关键词 :网络 安全; 侵检测: P神 经网络;系统原型 入 B
中图分类号 :P 9 . T 3 30 8 文献标识码: A ‘
() 4网络结构选择
包括 3个方面的内容 :输入层和输出层节点数选择 ,网络隐层数的选择 ,及每个隐层节点数的选择. 入 输 层和输 出层节点数选择由应用要求决定. 输入节点数一般等于要训练的样本矢量维数 ,可 以是原始数据的维数
或提取的特征维数 ; 出单元数在分类网络中取类别数 , 输 在逼近网络中取要逼近的函数输出空间维数. 网络 的 隐层数和隐节点数决定了网络的规模 ,而网络的规模与其性能密切相关. 神经 网络 的规模越大 ,网络 中的 自由 参数就越多 ;反之 ,网络中的自由参数就越少.
Байду номын сангаас
文章编号 :10 ・832 0 )30 5 —5 324 (0 70 —6 80 0
÷个 基于神 经 网络的入侵检测 系统原型 的开发
仲兆满 1,管燕 。 , 2
(. 云港师范 高等专科 学校计 算机 系,江苏连 云港 2 2 0 ; . 州大学信息 工程 学院,江苏扬州 2 5 0 ) 1 连 2 0 6 2扬 2 0 2
2 对B P神经 网络 学 习方法的一些说明
() P网络用于函数逼近与分类的差别 1 B
B P网络输 出节点的激活函数根据应用的不吲而异 : 如果 B P网络用于分类 ,则输出层节点一般用 Sg o i i m d
函数 ;如果 B P网络用于函数逼近 ,则输出层节点应该用线 性函数. () 2网络的逼近能力 当神经网络的结构和权值确定后 , 网络从输入到输出就成了一个 非线性映射. 3 B 对 层 P网络 , 许多人证明 了以下的万能逼近定理【: 含一个隐层的 3 B 网络 , 】 层 P 只要隐节点数足够多 , 能以任意精度逼近有界区域上的
基于深度学习的网络入侵检测技术
基于深度学习的网络入侵检测技术网络安全一直是当今社会中的重要议题,随着互联网的迅猛发展和普及,网络入侵问题也越来越严重。
为了保护网络安全,各种网络入侵检测技术应运而生。
本文将介绍基于深度学习的网络入侵检测技术,探讨其原理和应用。
I. 深度学习简介深度学习是机器学习领域的一个分支,通过构建多层神经网络,模拟人类大脑的工作原理,从而实现对复杂数据的高级抽象和分析。
深度学习在计算机视觉、自然语言处理等领域取得了巨大成功,也被应用于网络入侵检测技术的研究中。
II. 基于深度学习的网络入侵检测技术原理基于深度学习的网络入侵检测技术主要分为两个阶段,即训练阶段和测试阶段。
1. 训练阶段在训练阶段,首先需要构建一个深度学习模型,常用的模型包括卷积神经网络(CNN)和循环神经网络(RNN)。
然后,使用带有标签的入侵数据和正常数据对模型进行训练,让模型学习到入侵和正常数据之间的差异。
2. 测试阶段在测试阶段,将训练好的深度学习模型应用于实际网络流量数据的检测。
通过将网络流量数据输入到模型中,模型将输出该数据属于入侵或正常的概率。
根据概率的阈值,可以将网络流量判定为是否存在入侵行为。
III. 基于深度学习的网络入侵检测技术应用基于深度学习的网络入侵检测技术可以应用于各种网络环境中,包括企业内部网络、云计算环境和工业控制系统等。
它能够检测出各种类型的网络入侵行为,如拒绝服务攻击、恶意代码传播等。
1. 企业内部网络在企业内部网络中,基于深度学习的网络入侵检测技术可以帮助企业堵塞网络安全漏洞,防范内部员工的恶意行为,并提升网络的整体安全性。
2. 云计算环境在云计算环境中,基于深度学习的网络入侵检测技术可以检测出由于多租户共享资源而带来的潜在安全风险,并对入侵行为进行实时响应和阻断。
这对于云计算服务提供商来说非常重要,能够提高云计算平台的安全性和可靠性。
3. 工业控制系统工业控制系统是指用于监控和控制工业生产过程的系统,如电力系统、石化系统等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
每一 个 系统 调 用都 对 应 着一 个数 字 ,这 些数 字 是用 来 代 表 这 些 系统 调 用 的 。例 如 在 Li n ux系统 中 ,内核 通 过
0 x 8 0中断 来 管 理 这 些 系统 调 用 ,这 些 系统 调 用对 应 的数 字 和 一些 参 数都 在 调用 的 时候 送 到某 些寄 存 器里 面 。系统
对 测试 集 中的 每个 子 序列 定 义 一 个 它与 模 式表 的最 小距
离d m m (  ̄ ) = mi n { d ( , p ) } ,其 中 P是模 式表 中的任意 模式 。 从 定义 可 以看 出 , d ( 越 大 ,则 发生 的入 侵可 能性 越大 。
在 实 际 中 ,d ; 的最 大 观察 值 用做 入 侵 的 测度 ,它 是最 强
2 . 2 . 4 系统调用短序列特征 向量的提取
将 系统调 用 短 序列 转 化 为 BP神 经 网 络模 型 可 以识 别 的输 入 ,用 以训练 网络 和 检测 异常 的 系统 调用 。 设 a和 b为 长度 为 k的两 个序 列 。a ; 表 示序 列 a的 第
i 个 位置 ,d ( a , b ) 表 示序 列 a 与 b的距 离 。在模 式 匹配 时 ,
很 大 ,趋 向于 一个 定值 ;
录 的所 有 进程 的 审计信 息 。而 本 文 的检 测系统 只 关心 特权
程 序 的信 息 。所 以说 ,需 要 对 BSM 数 据进 行过 滤 ,根 据
特 权程 序的特 点进 行抽 取 , 分 析审 计记 录 的各个 字段 结构 。
( 3 )运 用 系统调 用短 序列 可 以描 述 系统调 用 的特 征 。 以 上特 征 表 明 :系统 调用 短 序列 可 以用 于 刻 画进程 的 特 征 ,并 可 以用 于构 建正 常 行为 特 征库 ,以区 分 系统 中不 同进程 和 入侵 行 为等 。 因此 ,基 于 系统 调用 可 以建 立入 侵
维普资讯
维普资讯
学术 . 技术
特定 的 、有限 的功能 , 然 而用 户可 能执 行各种 类型 的操 作
最 后 ,特 权程 序 的行 为在 时 间上 是 相对 稳定 的 ,特 别是 与 用 户 行为 相 比 一 一用 户行 为不 仅 执行 的操 作变 化 多端 ,而 且 随 着时 间 的不 同用 户行 为可 能 会产 生很 大 的变化 ,而特
权程序的行为 ( 至少是它们 的功能 )通常不会随着时间发
生 很大 改变 。特权程 序 ,尤其 是那 些监 听特 定端 口的特 权
Байду номын сангаас
程 序 ,形 成 了外部 探 测和入 侵 的 自然边界 。
综 上所 述 ,对 于特 权程 序 的 监控 是入 侵 检测 的一 个 重
要研 究方 向 。
2 . 2 . 2从审计记录中抽取特权程序
的异常信号体现 ,异常信号 S ^ 定义为. S = ma x { d m ( / 4 } ,
其 中 为任 意 的子序 列 。在 理想 情况 下 ,只要 S 大 于 0就 可 以认 为是 入侵 ,然而 在 实际 中检 测 序列 与模 式 表 中 的序 列 完全 匹 配 的 限 制太 强 。一 次 定 义一 个 阈值 ,如 果 S 值
调 用 的数 字 实 际上 是一 个序 列 号 ,表示 其 在 系统 的一 个数 组s y s _ c a l l _ t a b l e [ 】 中 的位置 。 程 序运 行 过程 中所使 用 的 系统调 用 序列 表现 出一 些重 要 的性 质 ,主要 包括 : ( 1 ) 进 程 运 行过 程 中所 使 用 的系 统 调用 序 列 具 有一 定
B S M 数 据 包含 了评 估阶 段 P a s c a l 机器 上 B S M 模 块 记
的稳 定性 , 表现 为 系统 调用 短序列 ( 系统 调用 序列 的片段 )
具 有一定 的稳 定 性 ; ( 2 ) 刻 画 系统 调 用 的 系统 调 用 短 序列 的 数 量变 化 不 会
能 访 问更 多 的资 源 。如果 误用 这 些资 源足 以对 整 个 系统构 成 危 害 。所 以 ,很 多入 侵 都是 发 生在 进程 的核 心 态 ( 如缓 冲区溢出) ,如 果把 程 序 运 行 产生 的 系统 调用 序 列 记 录下
来 ,就 为入 侵 过程 记下 了最为 详 细的 日志 。 因此 ,可 以通 过 分析 特权 程序 的 系统 调用 ,来检 测入 侵 行为 ,把 系统 调 用作 为研 究对 象 。 用 户程 序 可 以通过 这 组特 殊 接 口来获 得 操作 系统 内核 提供 的服 务 , 比如用 户可 以通 过 文 件 系统 相 关 的调用 请 求 系统 打开 文 件 、关 闭文 件或 读写 文件 。系统 服务 之所 以需 要 通过 系统 调 用提 供功 能 给用 户 空 间的根 本原 因是为 了对 系统 的保护 ,因为 系统 的运行 空 间分 为 内核空 间与用 户空
间, 它们 各 自运行 在不 同 的级别 中 , 逻 辑上 是相 互 隔离 的 。 所 以用 户进 程 在通 常情 况 下不 允许 访 问 内核数 据 ,也 无法
使 用 内核 函数 ,它 们 只能在 用 户空 间操 作 用户 数据 ,调用
大 于该 阈值 就认 为 发生 异常 。
在本 系 统 中我 们采 用 3种 距 离 向量 分 别进 行实 验 ,并 且 比较 了这 3种方 法 的优 劣 。在 实 验 中采 用 了如下 3种 实
检 测模 型 。
2 . 2 . 3系统调用段序列的获取
系统 调 用 是 进程 在 用 户 态 与 核 心态 之 间切 换 的桥 梁 , 用户 进程 在 用户 态 只能 访 问有 限 的资源 ,入 侵一 般 不会 发 生 在 用 户 空 间 。然 而 进程 通 过 系 统调 用 切 换到 核 心 态 后 ,