入侵检测技术是保护网络系统的重要手段之一,基于主机的入侵检测系统主要用于对重点主机实施防护,具有检测效率高和检测准确性高等优势。特权进程是攻击者入侵系统时的主要攻击目标,本文通过深入分析针对特权进程的各种攻击方法及其造成的进程行为差异,从异常检测和误用检测两方面研究了针对特权进程行为的入侵检测方法,并在自动响应技术方面进行了探讨性研究。 论文主要取得以下成果:第一,对正常进程和入侵进程进行了对比分析,并对不同的异常行为提出了不同的检测方法;第二,提出了新的基于进程行为监控的检测模型,融合了误用检测和异常检测两种检测技术,充分利用了二者优势,弥补了各自的缺陷和不足;第三,异常检测中,研究了多种检测方法,提出了基于遗传算法的检测模型、基于序列特征提取的检测模型和基于非层次聚类的无监督检测模型,其中基于非层次聚类的无监督检测模型具有对训练数据要求低,生成的正常行为轮廓质量高等优点;第四,首次提出了进程轮廓的实时更新算法,更有利于确保正常行为轮廓与实际应用环境的一致性,改善正常行为轮廓质量;第五,异常检测中,引入了滤噪函数,降低了误报率;第六,提出了新的误用检测算法,提出了一套完整的基于系统调用相关属性的误用描述规则,可详细描述进程异常行为特征,实施误用检测;第七,针对监控特权进程的特殊性,提出了多种可能的响应方法及实现方式,并深入分析了各自的优势和不足;第八,借鉴生物免疫系统原理,设计了一套人工免疫系统,该系统具有自学习功能,可识别自我和非我,并可在运行过程中不断完善,提高检测准确性