可信網(wǎng)絡連接TNC的程序行為檢測研究.pdf

1、計算機技術與網(wǎng)絡通信技術的迅猛發(fā)展，使得信息安全的內涵和外延都在不斷地發(fā)生變化，并且日益影響著相關領域技術的發(fā)展。政府機構、企事業(yè)單位、各種組織以及個人對計算機的依賴己經越來越強，計算機的應用已經滲透到政治、經濟、社會、教育和軍事等幾乎所有領域的各種業(yè)務流程之中。與此同時，計算機病毒、木馬和黑客的攻擊也使我們認識到現(xiàn)有計算機網(wǎng)絡系統(tǒng)是十分脆弱的，而且這種脆弱性可能造成不可估量的損失。
　　 傳統(tǒng)的網(wǎng)絡安全思想主要是以被動預防為主

2、，通過防火墻、入侵檢測系統(tǒng)和殺毒軟件等在被保護網(wǎng)絡的周圍筑起高墻和柵欄，以防止外部攻擊。但是傳統(tǒng)的網(wǎng)絡安全技術僅在外圍對非法用戶和越權訪問進行封堵，而對訪問者源端不加控制，加之操作系統(tǒng)的不安全因素導致系統(tǒng)的各種漏洞，因而無法從根本上解決安全問題。因此，必須換一個角度來解決問題，從源頭上，即從每一臺連接到網(wǎng)絡的終端開始。
　　 近年來，可信計算的興起正是對這一思想的認可?？尚庞嬎憬M織TCG制定的可信網(wǎng)絡連接TNC規(guī)范，該規(guī)范采用了

3、標準的接口定義了一個公開的標準，將傳統(tǒng)的網(wǎng)絡安全技術和可信計算技術結合，從終端入手構建可信網(wǎng)絡，將不信任的訪問操作控制在源端。
　　 TNC架構立足于終端，對每個試圖連接到網(wǎng)絡的終端，在待接入終端通過認證和授權的基礎上，還檢查終端當前的完整性及其它安全屬性是否與預定的安全策略一致，從而提供對網(wǎng)絡更完善的保護。根據(jù)預設安全策略，可信的終端將獲得訪問網(wǎng)絡資源的權限，不可信的終端被拒絕訪問或被隔離，有漏洞的終端被補救，更新其組件和配置

4、，確保任何訪問網(wǎng)絡的終端具有符合組織安全策略的、最新的、恰當?shù)陌踩渲谩?br>　　 然而，目前TNC只定義了一系列主機的完整性和可靠性的規(guī)則，而沒有定義有關程序行為，所以它無法對程序行為進行控制。因此需要對TNC中有關行為的安全性方面做一定的研究以便更好的提高網(wǎng)絡的安全性及可信性。
　　 針對目前TNC規(guī)范存在的問題，設計了TNC的程序行為檢測模型?；谥鳈C系統(tǒng)調用序列的程序行為檢測技術，是針對主機系統(tǒng)調用數(shù)據(jù)進行行為檢測的

5、一種安全技術。由于主機系統(tǒng)調用序列反映系統(tǒng)內核的行為特征，有利于對系統(tǒng)自身特征的提取和針對系統(tǒng)自身的檢測，從而可以不考慮用戶差別，從系統(tǒng)自身行為的合法性和破壞性上鑒別非法行為，以更好的提高系統(tǒng)的安全性。
　　 枚舉序列模型構建兩類特征模式空間：正常和異常兩種類別的特征模式空間。本文在此基礎上，將類別空間中出現(xiàn)頻率較小的、類別特征不明顯的、不穩(wěn)定的短序列分離出來，將特征類別空間分為正常、異常和小概率三類，并提取了以時間為序的臨近的