基于系统调用的Linux系统入侵检测技术研究

被引：7

作者：

贾春福

钟安鸣

周霞

田然

段雪涛

机构：

[1] 南开大学信息技术科学学院

来源：

计算机应用研究 | 2007年 / 04期

基金：

天津市自然科学基金;

关键词：

入侵检测; 系统调用; 可加载内核模块技术; 极大似然; 马尔可夫模型;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

提出了一种基于系统调用、面向进程的Linux系统入侵检测方法:利用LKM(Loadable Kernel Modules)技术在Linux内核空间获取检测源数据——所考察进程的系统调用,使用基于极大似然系统调用短序列的Markov模型提取进程的正常行为特征,据此识别进程的异常行为。通过实验表明了此方法的可行性和有效性;并分析了方法在实现中的关键问题。

引用

页码：147 / 150

页数：4