基于應(yīng)用程序合法作用域的入侵檢測(cè)技術(shù)的研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用范圍的擴(kuò)大，人們?cè)絹碓揭蕾囉诰W(wǎng)絡(luò)進(jìn)行信息的處理。但是由于網(wǎng)絡(luò)攻擊工具和攻擊手段的日趨復(fù)雜化和多樣化，僅僅依靠傳統(tǒng)的網(wǎng)絡(luò)安全防范措施已無法滿足對(duì)網(wǎng)絡(luò)安全的要求。面對(duì)數(shù)量龐大、變化多樣的各種網(wǎng)絡(luò)攻擊，要建立高效而靈活的安全防范措施是一項(xiàng)艱巨而富有挑戰(zhàn)性的任務(wù)。
　　 入侵檢測(cè)技術(shù)是近年來發(fā)展迅速的一種新型的網(wǎng)絡(luò)安全技術(shù)。目前基于主機(jī)的入侵檢測(cè)技術(shù)--無論是針對(duì)已知的攻擊特征還是針對(duì)系統(tǒng)異常--都將注意力放在對(duì)

2、于攻擊過程的研究和挖掘上。雖然通過對(duì)惡意攻擊過程中所表現(xiàn)的模式特征進(jìn)行研究和分析可以在一定程度上防止某些攻擊對(duì)系統(tǒng)造成危害，但是在對(duì)某個(gè)操作是否為惡意攻擊的判斷上卻比較容易出錯(cuò)，從而產(chǎn)生大量的錯(cuò)誤報(bào)警。
　　 本文從信息安全技術(shù)這一角度入手，介紹了目前入侵檢測(cè)系統(tǒng)的種類及概念，然后介紹了目前入侵檢測(cè)系統(tǒng)采用的安全技術(shù)，最后，通過分析應(yīng)用程序在執(zhí)行時(shí)的系統(tǒng)調(diào)用序列，針對(duì)目前大多數(shù)基于異常的入侵檢測(cè)系統(tǒng)容易發(fā)出錯(cuò)誤警報(bào)的普遍問題，深

3、入分析了現(xiàn)行系統(tǒng)發(fā)出誤判的根本原因，并依據(jù)用戶操作和惡意攻擊之間的本質(zhì)區(qū)別提出了一種新的入侵檢測(cè)技術(shù)。通過降低錯(cuò)誤報(bào)警率、提高檢測(cè)攻擊的準(zhǔn)確度，可以使管理員將更多的精力放在惡意攻擊上而不會(huì)被錯(cuò)誤報(bào)警所困擾，大大提高了系統(tǒng)管理員的工作效率。
　　 由于進(jìn)程執(zhí)行的所有關(guān)鍵操作都必須通過系統(tǒng)調(diào)用從用戶態(tài)轉(zhuǎn)換到內(nèi)核態(tài)來完成，因此可以通過記錄系統(tǒng)調(diào)用序列來獲得進(jìn)程的活動(dòng)。當(dāng)檢測(cè)到異常的系統(tǒng)調(diào)用時(shí)，可以終止該進(jìn)程的運(yùn)行，這樣可以防止惡意攻擊