随着计算机技术和网络技术的迅猛发展,计算机系统已经从独立的主机发展到复杂的、互联的开放式系统,这种情况导致计算机及网络的入侵问题越来越突出。入侵检测技术作为一种有效的防护手段成为网络安全领域研究的热点。针对这种情况,本文详细研究了基于主机用户行为的入侵检测,并着重对检测算法等关键技术进行了阐述。 论文首先简要介绍了现有的入侵检测方法与技术,然后对主机用户行为的特征数据选取做了系统的研究。针对Linux与Windows不同的操作环境,在Linux环境下采用了基于主机日志的数据获取方法;在Windows环境下采用了利用Detours库获取Windows API函数调用的方法。通过对不同的操作环境下用户行为特征数据的获取分析,本文论述了用户行为特征数据库建立的过程,并就过程中数据的标准化环节与过滤环节进行了详细的阐述。 接着,论文对检测算法进行了研究。检测算法是入侵检测中的一个难点,也是本文的一个重点。大多数的入侵检测都会以用户命令序列的分析作为开始。事实上这已经成为了入侵检测技术分析的一个逻辑步骤。这种分析与序列分析有着很大的相似性。通过对序列分析与入侵检测分析相似性的研究,本文按照入侵检测的特点,对序列比较中的Smith Waterman算法进行了改进,算法的改进包括得分函数的特殊设置和比对数据的选取设置。最后本文使用标准数据与收集数据对改进算法进行了测试,就阈值选取、记分函数选取和实验结果参数分析三个方面对算法进行了分析。通过对已有的六种测试算法的分析与比较,本文提出的改进匹配算法能够有效的提高命中率(Hit Rate),并能有效应用于实际检测中。