提高防御APT攻擊性能的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著信息技術(shù)與網(wǎng)絡(luò)的不斷發(fā)展，各行各業(yè)均已實(shí)現(xiàn)了數(shù)字化、網(wǎng)絡(luò)化、智能化、一體化，網(wǎng)絡(luò)安全也受到了大家的高度關(guān)注，網(wǎng)絡(luò)安全不僅是各個(gè)網(wǎng)絡(luò)系統(tǒng)可靠運(yùn)行的保障，更關(guān)乎著系統(tǒng)數(shù)據(jù)的安全，隨著中國(guó)鐵路的不斷發(fā)展進(jìn)步，中國(guó)列車(chē)運(yùn)行控制系統(tǒng)(Chinese Train Control System，CTCS)也逐步實(shí)現(xiàn)了數(shù)字化、一體化的列車(chē)運(yùn)行網(wǎng)絡(luò)系統(tǒng)。CTCS的網(wǎng)絡(luò)安全一直受到人們的高度關(guān)注，其網(wǎng)絡(luò)安全不僅是保證鐵路運(yùn)行的效率和經(jīng)濟(jì)的保證，更關(guān)乎人

2、們出行的安全。近幾年來(lái)，高級(jí)持續(xù)性威脅(Advanced Persistent Threat，APT)引起了國(guó)際、國(guó)內(nèi)的重視，APT是組織或個(gè)人以竊取信息，或者對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞為目的，運(yùn)用各種方式，對(duì)日標(biāo)系統(tǒng)進(jìn)行入侵或攻擊的行為。如2010年APT運(yùn)用震網(wǎng)(Stuxnet)病毒，專(zhuān)門(mén)定向攻擊真實(shí)世界中基礎(chǔ)（能源）設(shè)施，比如核電站，水壩，國(guó)家電網(wǎng)等。這種對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期、持續(xù)性、定向的網(wǎng)絡(luò)攻擊的形式對(duì)工業(yè)控制網(wǎng)絡(luò)具有很大威脅。因此，為

3、了有效的防御APT攻擊，研究針對(duì)APT攻擊的特點(diǎn)的入侵檢測(cè)系統(tǒng)具有重要意義。
　　本文首先對(duì)APT及入侵檢測(cè)系統(tǒng)的特點(diǎn)和現(xiàn)狀進(jìn)行了分析。針對(duì)傳統(tǒng)入侵檢測(cè)系統(tǒng)監(jiān)控用戶(hù)模式的系統(tǒng)API函數(shù)容易被惡意代碼發(fā)現(xiàn)并進(jìn)行隱藏，對(duì)0day漏洞防范不足的情況，確定了基用內(nèi)核調(diào)用監(jiān)控的系統(tǒng)實(shí)現(xiàn)方案。本文使用內(nèi)核級(jí)的API Hook技術(shù)，在系統(tǒng)，進(jìn)程，文件、注冊(cè)表、驅(qū)動(dòng)和網(wǎng)絡(luò)監(jiān)控等方面對(duì)內(nèi)核態(tài)的API函數(shù)調(diào)用進(jìn)行監(jiān)控和攔截，這樣對(duì)系統(tǒng)的監(jiān)控更加底層，