基于主機內核的混合型入侵防御系統(tǒng)的研究.pdf

1、“防火墻+入侵檢測系統(tǒng)”是目前網絡信息安全技術的重要解決方案。防火墻僅僅能夠作為網絡邊界的屏障，而不能代替整個安全系統(tǒng)的作用；基于入侵特征庫的入侵檢測系統(tǒng)，僅僅能夠被動地檢測已知的安全入侵方式，而對未知的入侵方式則無能為力。后來出現(xiàn)的入侵檢測系統(tǒng)與防火墻聯(lián)動的安全系統(tǒng)，也存在沒有統(tǒng)一的標準接口和維護難度大的缺點，同時其被動性和滯后性仍然沒有得到解決。一種主動的、積極的入侵防御系統(tǒng)已成為近幾年信息安全領域研究的熱點。入侵防御系統(tǒng)分為基于主

2、機和基于網絡兩種，它們都有各自的優(yōu)勢，能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。如果將兩者集成到一起，組成混合型入侵防御系統(tǒng)，將提供一個更為全面的、主動的安全措施。 本文詳細分析了防火墻和入侵檢測系統(tǒng)的優(yōu)缺點，提出了工作在個人主機操作系統(tǒng)內核上的混合型入侵防御系統(tǒng)的思想，研究了系統(tǒng)的體系結構，以及數(shù)據(jù)包捕獲技術、協(xié)議分析技術、進程保護技術和文件保護技術等關鍵技術，而且設計了一個主要從網絡、主機的重要進程和重要文件的三個重點層次實施全面

3、保護的混合型入侵防御系統(tǒng)，并對系統(tǒng)做了相關的實驗。 由于本文研究的系統(tǒng)擁有網絡監(jiān)控和主機監(jiān)控兩種功能，所以系統(tǒng)同時擁有防御來自外部網絡、內部網絡和針對本機鍵盤的攻擊的能力。此外，系統(tǒng)還具有主動防御和實時阻斷的特點。 本文研究的系統(tǒng)部署在目標主機上，通過內核模式驅動程序，工作在操作系統(tǒng)核心態(tài)，并在系統(tǒng)中引入了強身份訪問控制技術，對關鍵資源進行主動防御，可以更好地保障用戶個人的信息安全。系統(tǒng)也可以部署到網絡服務器和數(shù)據(jù)庫服務