一種以系統呼叫異常為判斷基礎之入侵防禦系統

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：25

、訪客IP：18.116.52.43

姓名

林景仁(Ching-Jen Lin) 查詢紙本館藏

畢業系所

資訊管理學系

論文名稱

一種以系統呼叫異常為判斷基礎之入侵防禦系統

相關論文

★ 應用數位版權管理機制於數位影音光碟內容保護之研究	★ 以應用程式虛擬化技術達成企業軟體版權管理之研究
★ 以IAX2為基礎之網頁電話架構設計	★ 應用機器學習技術協助警察偵辦詐騙案件之研究
★ 擴充防止詐欺及保護隱私功能之帳戶式票務系統研究-以大眾運輸為例	★ 網際網路半結構化資料之蒐集與整合研究
★ 電子商務環境下網路購物幫手之研究	★ 網路安全縱深防護機制之研究
★ 國家寬頻實驗網路上資源預先保留與資源衝突之研究	★ 以樹狀關聯式架構偵測電子郵件病毒之研究
★ 考量地區差異性之隨選視訊系統影片配置研究	★ 不信任區域網路中數位證據保留之研究
★ 入侵偵測系統事件說明暨自動增加偵測規則之整合性輔助系統研發	★ 利用程序追蹤方法關聯分散式入侵偵測系統之入侵警示研究
★ 一種網頁資訊擷取程式之自動化產生技術研發	★ 應用XML/XACML於工作流程管理系統之授權管制研究

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

現今入侵事件越發頻繁，攻擊手法也日新月異，入侵偵測系統除了要能偵測到最新的攻擊，也需要具備有即時反應的能力，才不致讓攻擊對系統造成太大的影響。本文提出「觀察期」的概念，結合異常入侵偵測技術與即時防禦，建立一入侵防禦系統，可強化傳統上分析系統呼叫並判斷是否有異常行為之入侵偵測技術，同時達到減少誤判的發生與修正行為特徵的功能。
本研究利用作業系統獲取系統呼叫以外的資訊，同時設置程序行為的觀察期，用以監控程序並判斷是否有入侵行為發生，此舉有助於降低誤判率，另外也由建置在作業系統中的防禦模組，提供即時阻擋入侵行為的能力。為了驗證設置觀察期的效果，本研究設計一雛形系統，並以實際的例子，包括使用者連線行為與sambal攻擊進行實驗，證明此概念在結合異常入侵偵測與即時防禦時的重要性。

關鍵字(中)

★ 入侵防禦
★ 觀察期
★ 異常入侵偵測
★ 系統呼叫

關鍵字(英)

論文目次

目錄 II
圖目錄 IV
表目錄 V
第一章緒論 1
第一節研究背景 1
第二節研究動機及目的 1
第三節研究範圍與限制 3
第四節章節架構 4
第二章相關研究 5
第一節異常入侵偵測分析的資料來源探討 5
第二節以系統呼叫為基礎的異常入侵偵測 8
2.2.1 序列分析 8
2.2.2 路徑分析 11
2.2.3 統計方法 11
2.2.4 資料探勘 11
2.2.5 生物資訊演算法 12
2.2.6 其他 12
2.2.7 以系統呼叫為基礎的入侵偵測系統之比較 12
第三節實作即時防禦可採用的機制及相關系統 14
2.3.1 獨立維護 14
2.3.2 模組架構 15
第四節本章小結 16
第三章可疑入侵行為的觀察期 17
第一節縱深防禦 17
第二節觀察期 18
第三節入侵防禦系統與觀察期的關係 20
第四章系統架構與設計 21
第一節運作流程 21
4.1.1 異常入侵偵測階段 22
4.1.2 檢視行為階段 22
第二節系統架構 23
4.2.1 控制介面 23
4.2.2 監控模組 24
4.2.3 防禦模組 25
第三節模組設計 25
4.3.1 控制介面 26
4.3.2 監控模組 27
4.3.3 防禦模組 29
4.3.4 對系統效能的影響 30
4.3.5 安全規則與防禦規則 32
第五章實驗 34
第一節實驗一 34
第二節實驗二 36
第六章結論 38
第一節研究結論 38
第二節研究貢獻 38
第三節未來研究方向 38
參考文獻 40

參考文獻

[游啟勝 2003] 游啟勝，「合作式防火牆之設計與應用」，國立中央大學資訊管理學系碩士論文，民國 92 年 6 月。
[曾宇瑞 2000] 曾宇瑞，「網路安全縱深防禦機制之研究」，國立中央大學資訊管理學系碩士論文，民國 89 年 6 月。
[Bridge 2001] Steve Bridge, “Achieving Defense-in-Depth with Internal Firewalls”, August 2001. (Available at http://www.sans.org/rr/paper.php?id=797)
[CBS 2003] S. Coull, J. Branch, B. Szymanski, “Intrusion detection: A Bioinformatics Approach”, In 19th Annual Computer Security Applications Conference, Las Vegas , 2003
[CERT] CERT/CC, “Overview of Attack Trends”, Software Engineering Institute, Carnegie Mellon University, 2002.
(Available at http://www.cert.org/archive/pdf/attack_trends.pdf)
[dbench] dbench – Emulating Netbench,
http://samba.org/ftp/tridge/dbench/README
[ELS 2001] E. Eskin, W. Lee, and S. J. Stolfo. “Modeling system calls for intrusion detection with dynamic window size”, In Proceedings of DARPA Infor-
mation Survivability Conference & Exposition II, 2001(DISCEX '01), pages 165-175, Anaheim, CA, June 2001.
[FHSL 1996] S. Forrest, S. A. Hofmeyr, A. Somayaji, and T. A. Longstaff. , “A sense of self for unix processes”, In Proceedings of the 1996 IEEE Symposium on Security and Privacy, pages 120-128, Los Alamitos, CA, 1996. IEEE Computer Society Press.
[FKFLG 2003] H. H. Feng, O. M. Kolesnikov, P. Fogla, W. Lee, and W. Gong. “Anomaly detection using call stack information”, In Proceedings of the 2003 IEEE Symposium on Security and Privacy. Pages 62-75, Berkley, CA, 2003. IEEE Computer Society Press.
[Graf 2003] Tal Garfinkel. “Traps and Pitfalls: Practical Problems in System Call Interposition Based Security Tools”, In Proceedings of the ISOC Symposium on Network and Distributed System Security, 2003.
[HB 1997] P. Helman and J. Bhangoo. “A statistically based system for prioritizing information exploration under uncertainty”, IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems and Humans, 27(4):449-466, July 1997.
[HF 2000] S. A. Hofmeyr, S.Forrest, “Intrusion detection using sequences of system calls”, (http://www.cs.virginia.edu/~jones/cs851sig/slides/forrest-signature.ppt)
[HFS 1998] S. A. Hofmeyr, S. Forrest, and A. Somayaji. , “Intrusion detection using sequences of system calls”, Journal of Computer Security, Volume 6, pages 151-180, 1998.
[Janus] T. Garfinkel and D. Wagner. Janus: A practical tool for application sandboxing. http://www.cs.berkeley.edu/~daw/janus
[KHHTM 2001] A. Krings, W. Harrison, N. Hannebutte, C. Taylor and M. McQueen, “Attack Recognition Based on Kernel Attack Signatures”, In Proceedings of 2001 International Symposium. on Information Systems and Eng., (ISE’2001), Las Vegas, June 25-28, 2001.
[Kumar 1995] S. Kumar. “Classification and Detection of Computer Intrusions”, PhD thesis, Department of Computer Sciences, Purdue University, August 1995.
[LS 1998] W. Lee and S. J. Stolfo. Data mining approaches for intrusion detection. In Proceedings of the 7th USENIX Security Symposium, 1998.
[LSC 1997] W. Lee, S. J. Stolfo, and P. K. Chan. Learning patterns from UNIX process execution traces for intrusion detection. In AAAI Workshop on AI Approaches to Fraud Detection and Risk Management, pages 50–56. AAAI Press, July 1997.
[LV 2002] Y. Liao, V. R. Vemuri, “Using Text Categorization Techniques for Intrusion Detection”, 11th USENIX Security Symposium, 2002
[Openwall] Linux kernel patch from the Openwall Project,
http://www.openwall.com/linux
[Padala 2002] P. Padala, “Playing with ptrace, Part I”, November 2002.
(Available at http://www.linuxjournal.com/article.php?sid=6100)
[Padala 2002a] P. Padala, “Playing with ptrace, Part II”, December 2002.
(Available at http://www.linuxjournal.com/article.php?sid=6210)
[PC 2002] H. J. Park and S. B. Cho, “Privilege flows modeling for effective intrusion detection based on HMM”, Department of Computer Science, Yonsei University, Korea, 2002.
[Provos 2003] Niels Provos, “Improving Host Security with System call Policies”, 12th USENIX Security Symposium, 2003.
[RG 2003] M. Roesch and C. Green, “Snort Users Manual”,
http://www.snort.org/docs/writing_rules/chap2.html#tth_sEc2.3.22, 2003.
[Symantec] Symantec Internet Security Threat Report Volume V, https://enterprisesecurity.symantec.com/Content/displaypdf.cfm?SSL=YES&EID=0&PDFID=665&promocode=ITR
[Systrace] Systrace – Interactive Policy Generation for System calls,
http://niels.xtdnet.nl/systrace/
[SZ 2002] K. Sequeira and M. Zaki, “ADMIT: Anomaly-based data mining for intrusions”, SIGKDD 02 Edmonton, Alberta, Canada, 2002.
[WD 2001] D. Wagner and D. Dean, “Intrusion detection via static analysis”, In Proceedings of the 2001 IEEE Symposium on Security and Privacy, pages 156-168, Oakland, California, 2001.
[WDD 2000] A. Wespi, M. Dacier, and H. Debar. “Intrusion detection using variable-length audit trail patterns”, In Proceedings of the 3rd symposium on Recent Advances in Intrusion Detection (RAID 2000), pages 110-129, Toulouse, France, October 2000.
[WFP 1999] C. Warrender, S. Forrest, B. Pearlmutter, “Detecting intrusions using system calls: alternative data models”, In Proceedings of the 1999 IEEE Symposium on Security and Privacy, pages 133-152, Oakland, California, 1999.
[WS 2002] D. Wagner and P. Soto. Mimicry attacks on host based intrusion detection systems. In Proc. Ninth ACM Conference on Computer and Communications Security, 2002.

指導教授

陳奕明(Yi-Ming Chen)

審核日期

2004-7-18

推文