基于主機(jī)內(nèi)核的混合型入侵防御系統(tǒng)的研究.pdf

1、“防火墻+入侵檢測系統(tǒng)”是目前網(wǎng)絡(luò)信息安全技術(shù)的重要解決方案。防火墻僅僅能夠作為網(wǎng)絡(luò)邊界的屏障，而不能代替整個(gè)安全系統(tǒng)的作用；基于入侵特征庫的入侵檢測系統(tǒng)，僅僅能夠被動(dòng)地檢測已知的安全入侵方式，而對未知的入侵方式則無能為力。后來出現(xiàn)的入侵檢測系統(tǒng)與防火墻聯(lián)動(dòng)的安全系統(tǒng)，也存在沒有統(tǒng)一的標(biāo)準(zhǔn)接口和維護(hù)難度大的缺點(diǎn)，同時(shí)其被動(dòng)性和滯后性仍然沒有得到解決。一種主動(dòng)的、積極的入侵防御系統(tǒng)已成為近幾年信息安全領(lǐng)域研究的熱點(diǎn)。入侵防御系統(tǒng)分為基于主

2、機(jī)和基于網(wǎng)絡(luò)兩種，它們都有各自的優(yōu)勢，能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。如果將兩者集成到一起，組成混合型入侵防御系統(tǒng)，將提供一個(gè)更為全面的、主動(dòng)的安全措施。 本文詳細(xì)分析了防火墻和入侵檢測系統(tǒng)的優(yōu)缺點(diǎn)，提出了工作在個(gè)人主機(jī)操作系統(tǒng)內(nèi)核上的混合型入侵防御系統(tǒng)的思想，研究了系統(tǒng)的體系結(jié)構(gòu)，以及數(shù)據(jù)包捕獲技術(shù)、協(xié)議分析技術(shù)、進(jìn)程保護(hù)技術(shù)和文件保護(hù)技術(shù)等關(guān)鍵技術(shù)，而且設(shè)計(jì)了一個(gè)主要從網(wǎng)絡(luò)、主機(jī)的重要進(jìn)程和重要文件的三個(gè)重點(diǎn)層次實(shí)施全面

3、保護(hù)的混合型入侵防御系統(tǒng)，并對系統(tǒng)做了相關(guān)的實(shí)驗(yàn)。 由于本文研究的系統(tǒng)擁有網(wǎng)絡(luò)監(jiān)控和主機(jī)監(jiān)控兩種功能，所以系統(tǒng)同時(shí)擁有防御來自外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和針對本機(jī)鍵盤的攻擊的能力。此外，系統(tǒng)還具有主動(dòng)防御和實(shí)時(shí)阻斷的特點(diǎn)。 本文研究的系統(tǒng)部署在目標(biāo)主機(jī)上，通過內(nèi)核模式驅(qū)動(dòng)程序，工作在操作系統(tǒng)核心態(tài)，并在系統(tǒng)中引入了強(qiáng)身份訪問控制技術(shù)，對關(guān)鍵資源進(jìn)行主動(dòng)防御，可以更好地保障用戶個(gè)人的信息安全。系統(tǒng)也可以部署到網(wǎng)絡(luò)服務(wù)器和數(shù)據(jù)庫服務(wù)