论文研究基于系统调用的Linux系统入侵检测技术研究.pdf

提出了一种基于系统调用、面向进程的Linux系统入侵检测方法：利用LKM（LoadableKernelModules）技术在Linux内核空间获取检测源数据——所考察进程的系统调用，使用基于极大似然系统调用短序列的Markov模型提取进程的正常行为特征，据此识别进程的异常行为。通过实验表明了此方法的可行性和有效性；并分析了方法在实现中的关键问题。