入侵检测系统关注于检测来自网络或本地的入侵行为,是计算机安全领域的重要研究方向。入侵检测系统分为基于网络和基于主机两类。在主机入侵检测系统中,对系统调用进行监测和建模,是在操作系统层面进行入侵检测的有效手段。这方面的工作首先出现了针对系统调用序列的控制流特征检测技术,然后出现了针对系统调用属性的数据流特征检测技术;近期出现的信息流检测技术,同时考虑了程序系统调用的控制流和数据流特征,在攻击检测的能力上有明显的提高。　　 本文提出了一种通过对系统调用属性间集合关系进行建模的信息流入侵检测技术,并在实际系统中实现了一个基于信息流的入侵检测工具IFIDS。该检测工具由采集模块,分析模块,存储模块和入侵防御模块组成。采集模块在内核系统调用处理函数的入口和出口进行代码注入,动态地对进行相关数据进行采集;分析模块对采集到的系统调用信息进行缓存、序列串划分,并对序列串特征进行分析;存储模块对程序特征进行储存,并通过系统接口使这些信息在用户态可以访问;入侵防御模块对判定为异常的程序行为进行防御。整个系统实现为一个内核可加载模块,可以动态地加入内核进行检测和处理。检测工具在学习模式下记录系统调用的属性信息,并将分析结果保存;进入检测模式后,每个系统调用的参数会被实时监测是否符合己学习到的特征,遇到异常特征则立即终止被监测程序的执行。该检测工具对比现有工作,可以得到更多的程序信息流特征,可以以较小的性能开销,对缓冲区溢出类攻击进行检测。