基于主機用戶行為的入侵檢測技術研究.pdf

1、隨著計算機技術和網絡技術的迅猛發(fā)展，計算機系統(tǒng)已經從獨立的主機發(fā)展到復雜的、互聯的開放式系統(tǒng)，這種情況導致計算機及網絡的入侵問題越來越突出。入侵檢測技術作為一種有效的防護手段成為網絡安全領域研究的熱點。針對這種情況，本文詳細研究了基于主機用戶行為的入侵檢測，并著重對檢測算法等關鍵技術進行了闡述。 論文首先簡要介紹了現有的入侵檢測方法與技術，然后對主機用戶行為的特征數據選取做了系統(tǒng)的研究。針對Linux與Windows不同的操作環(huán)

2、境，在Linux環(huán)境下采用了基于主機日志的數據獲取方法；在Windows環(huán)境下采用了利用Detours庫獲取Windows API函數調用的方法。通過對不同的操作環(huán)境下用戶行為特征數據的獲取分析，本文論述了用戶行為特征數據庫建立的過程，并就過程中數據的標準化環(huán)節(jié)與過濾環(huán)節(jié)進行了詳細的闡述。 接著，論文對檢測算法進行了研究。檢測算法是入侵檢測中的一個難點，也是本文的一個重點。大多數的入侵檢測都會以用戶命令序列的分析作為開始。事實

3、上這已經成為了入侵檢測技術分析的一個邏輯步驟。這種分析與序列分析有著很大的相似性。通過對序列分析與入侵檢測分析相似性的研究，本文按照入侵檢測的特點，對序列比較中的Smith Waterman算法進行了改進，算法的改進包括得分函數的特殊設置和比對數據的選取設置。最后本文使用標準數據與收集數據對改進算法進行了測試，就閾值選取、記分函數選取和實驗結果參數分析三個方面對算法進行了分析。通過對已有的六種測試算法的分析與比較，本文提出的改進匹配算法