基于策略的主機(jī)入侵檢測(cè)技術(shù)研究及其在涉密內(nèi)網(wǎng)中的應(yīng)用.pdf

1、傳統(tǒng)的入侵檢測(cè)方法主要是誤用檢測(cè)和異常檢測(cè)，在入侵檢測(cè)系統(tǒng)中廣泛使用，但其在應(yīng)用中存在著維護(hù)困難、誤報(bào)率高、報(bào)警的可靠性比較低等問(wèn)題。這些問(wèn)題出現(xiàn)的原因在很大程度上是因?yàn)樗鼈冡槍?duì)潛在攻擊的定義是上下文無(wú)關(guān)的。它們將違反安全策略的行為認(rèn)為是入侵，而對(duì)于安全策略本身并未考慮在內(nèi)。 由于上述原因，當(dāng)前基于策略的入侵檢測(cè)方法逐漸被重視，此方法主要考慮是安全策略的本身，將其與系統(tǒng)及所在環(huán)境的實(shí)際情況結(jié)合，根據(jù)系統(tǒng)行為是否符合安全策略來(lái)檢測(cè)

2、入侵行為。基于策略的入侵檢測(cè)方法維護(hù)成本低，誤報(bào)率低，檢測(cè)可靠性高，可以做到實(shí)時(shí)檢測(cè)，并且可以阻止部分攻擊。 本文針對(duì)涉密內(nèi)網(wǎng)的特征，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于策略的UNIX主機(jī)入侵檢測(cè)系統(tǒng)。該系統(tǒng)采用基于策略入侵檢測(cè)方法，以安全策略為中心，通過(guò)安全策略控制、審計(jì)系統(tǒng)用戶(hù)的行為，檢測(cè)并阻止入侵，加強(qiáng)服務(wù)器系統(tǒng)的安全性。該系統(tǒng)采用分布式結(jié)構(gòu)，瀏覽器/服務(wù)器(B/S)的管理方式，采用基于策略的進(jìn)程控制、網(wǎng)絡(luò)控制、命令控制、登錄控制、密碼控