| 题名 | 实时检测缓冲区溢出方法的研究 |
| 作者 | 骆玉霞 |
| 答辩日期 | 2010-05-29 |
| 文献子类 | 博士 |
| 授予单位 | 中国科学院研究生院 |
| 授予地点 | 北京 |
| 导师 | 刘金刚 |
| 关键词 | 入侵检测 缓冲区写操作 粗糙集理论 单类支持向量机 核函数 |
| 学位专业 | 其它专业 |
| 英文摘要 | 随着网络技术发展,网络安全日益为人们所关注。网络入侵常利用计算机系统和软件的漏洞,对主机和网络造成了破坏。缓冲区溢出漏洞是网络入侵常利用漏洞之一。本论文针对缓冲区溢出的实时检测方法进行研究。 本论文提出了的缓冲区溢出实时检测方法,该方法与分析程序执行日志的入侵检测方法的区别在于:实时检测和响应的时间点是在攻击危害发生前进行;在危害发生前就能检测到攻击并阻止攻击的发生,使得关键服务器可以继续提高服务。提高了服务器程序的可用性,对于服务器程序的安全保护具有重要意义。 本论文首先提出了入侵检测数据源-缓冲区写操作。入侵检测的数据源选择直接影响入侵检测的检测效果以及实施实时响应的可能性。本论文中,获取检测事件的时间点是在程序对缓冲区进行写操作前,获得缓冲区写操作(包括指令地址信息、缓冲区的开始地址和缓冲区的结束地址信息)。同时,给出通过对二进制可执行程序进行静态分析与动态分析相结合获取缓冲区写操作的方法。本论文利用数据质量评估方法,对该数据集进行了评估,结果表明缓冲区写操作数据集具有很好的规则性和预测准确性。 为解决误报率高的问题,提出了利用粗糙集理论改进实时检测的方法,并实现了利用粗糙集理论修正核单类支持向量机的实时检测的离线修正方法。在正常程序行为模型库使用满十六叉有序树进行存储和表示,给出了时间复杂度为O(1)的满十六叉有序树搜索算法。在此基础上提出在支持向量机的核函数中,考虑样本属性对于决策的重要性,正确确定属性的权重,提出利用了粗糙集理论修正单类支持向量机核函数的方法。通过实验表明,通过离线修正实时检测方法,误报率降低为7%,该方法的平均系统性能损失率为3.2%。 本论文提出了利用缓冲区写操作进行实时检测的方法。该方法检测粒度细,通过拦截缓冲区写操作,对栈、堆、数据段和BSS段的缓冲区写操作的合法性进行检测。实验结果表明该检测方法对缓冲区溢出的检测率为93%,达到了具有创新的实用目的。 |
| 语种 | 中文 |
| 学科主题 | 计算机应用其他学科 |
| 公开日期 | 2010-07-06 |
| 内容类型 | 学位论文 |
| 源URL | [http://ictir.ict.ac.cn/handle/311040/477]  |
| 专题 | 中国科学院计算技术研究所学位论文_2010博士 |
| 推荐引用方式 GB/T 7714 | 骆玉霞. 实时检测缓冲区溢出方法的研究[D]. 北京. 中国科学院研究生院. 2010. |
| 个性服务 |
| 查看访问统计 |
| 相关权益政策 |
| 暂无数据 |
| 收藏/分享 |
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。
修改评论