主机入侵防御系统的研究与实现

论文摘要

随着计算机、网络等技术的迅猛发展,现实世界越来越依赖于计算机系统。一方面,人们享受着这些信息技术带来的巨大进步;另一方面,又不得不面对着越来越严重的信息安全威胁,特别是恶意代码（病毒、木马、蠕虫等）带来的安全威胁。本文讨论的基于Windows平台的主机入侵防御系统即WinHIPS（Windows-NT family Host Intrusion Prevention System）,完全是在内核模式下进行控制以及援引关键系统调用来保证Windows操作系统的安全。它作为一个内核驱动程序,通过使用Windows操作系统的内核结构来实现。因为被集成在操作系统内,所以不需要更改内核的数据结构,或核心算法。对于应用进程来说,WinHIPS是透明的,它可以不用考虑源代码被修改或者重新编译而继续工作。本文实现的工作原型适用于所有的Windows NT系列的操作系统,如Windows 2000/XP/2003。本文从理论和实践两个方面,研究了基于行为的WinHIPS系统设计开发所涉及到的一些关键技术问题,取得了以下几个方面的工作成果:1.WinHIPS通过应用干预技术运用在不开放源代码的Windows操作系统中。因为Windows内核结构对于程序员来说是隐藏的,并且,它的内核说明文档也非常少,所以实现起来也相当的困难。2.针对目前基于行为的HIPS实现技术上存在的不足,结合Windows体系结构,将过滤器技术应用到对用户行为的拦截上。3.采用过滤器、系统调用“钩子”等技术,实现WinHIPS系统各功能组件。4.将安全模型应用到Windows系统中,把类、授权等映射到Windows的具体内核变量和系统调用函数上。5.通过对恶意代码作用机制、作用过程的分析,从操作系统访问控制的角度概括出基于行为HIPS的访问策略库。最后对系统进行了性能、攻击测试,希望在此基础上为主机入侵防御系统的研究和开发提供一定的技术和经验。

论文目录

摘要

ABSTRACT

绪论

第一章主机入侵防御系统（HIPS）概述

1.1 HIPS 概述

1.1.1 HIPS 的基本概念

1.1.2 HIPS 和杀毒软件、防火墙的区别.

1.1.3 HIPS 的分层防御

1.1.4 HIPS 的保护方式介绍

1.2 HIPS 的设计概述

1.2.1 HIPS 设计思想

1.2.2 HIPS 的设计原则

1.2.3 HIPS 的设计目标

本章小结

第二章 WinHIPS 系统的技术设计

2.1 Windows 特权进程和关键系统调用概述

2.1.1 Windows 进程安全和特权

2.1.2 特权和危险进程

2.1.3 危险的系统调用

2.2 Windows 系统调用机制

2.2.1 系统调用的层次化结构

2.2.2 系统调用的实现过程

2.3 Windows 系统调用截获方法与实现

2.3.1 Windows 系统调用截获方法

2.3.2 Windows 系统调用截获的实现

本章小结

第三章基于行为的异常检测框架改进

3.1 基于行为的异常检测

3.1.1 在特权程序层次上监控异常

3.1.2 系统调用的方法

3.2 基于行为的异常检测的 WinHIPS 系统工作模式改进

3.2.1 传统杀毒软件工作模式

3.2.2 主机入侵防御系统（HIPS）的工作模式

3.2.3 基于行为的改进后的工作模式

3.3 智能查杀病毒系统性能比较

3.3.1 对已知病毒的查杀方式对比

3.3.2 对未知病毒的查杀方式

本章小结

第四章 WinHIPS 系统的实现与安全性分析

4.1 系统整体设计

4.2 系统监控的实现

4.2.1 HOOK 引擎的设计

4.2.2 HOOK 引擎的实现

4.3 威胁分析的实现

4.3.1 策略管理器的实现

4.3.2 进程行为管理器的实现

4.4 系统响应策略

4.4.1 自动报警

4.4.2 终止进程并隔离威胁文件

4.5 系统评测与安全性分析

4.5.1 高风险行为控制

4.5.2 进程伪装控制

本章小结

结论

参考文献

攻读硕士学位期间发表的学术论文

致谢

主机入侵防御系统的研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢