服務(wù)器的主動(dòng)入侵防御系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、由于發(fā)生在主機(jī)或服務(wù)器上的所有活動(dòng)都要使用操作系統(tǒng)，也就是說(shuō)，即使攻擊者繞過(guò)了其它某一種或幾種安全防御系統(tǒng)，他們最終都必須使用操作系統(tǒng)。入侵防御系統(tǒng)作為最后一道系統(tǒng)防線，從系統(tǒng)層和網(wǎng)絡(luò)層兩個(gè)層面上進(jìn)行防御，采用的關(guān)鍵技術(shù)就是核心態(tài)系統(tǒng)調(diào)用截獲和網(wǎng)絡(luò)層截獲。通過(guò)網(wǎng)絡(luò)截獲器和系統(tǒng)調(diào)用截獲器，對(duì)各種各樣的協(xié)議攻擊、操作系統(tǒng)攻擊和應(yīng)用程序攻擊進(jìn)行防范。利用用戶定制的系統(tǒng)訪問(wèn)控制策略，從訪問(wèn)者身份、訪問(wèn)時(shí)間、訪問(wèn)地點(diǎn)、訪問(wèn)使用進(jìn)程和進(jìn)程的授權(quán)權(quán)限

2、等方面對(duì)系統(tǒng)活動(dòng)和用戶行為進(jìn)行了細(xì)粒度的訪問(wèn)控制。實(shí)現(xiàn)了對(duì)操作系統(tǒng)．的的重要文件和注冊(cè)表項(xiàng)的增強(qiáng)保護(hù)；通過(guò)進(jìn)程隱藏和進(jìn)程終止保護(hù)技術(shù)對(duì)系統(tǒng)中運(yùn)行的重要進(jìn)程進(jìn)行防護(hù)；通過(guò)內(nèi)核模塊隱藏和內(nèi)核模塊加載/卸載技術(shù)實(shí)現(xiàn)對(duì)企圖加載的內(nèi)核級(jí)Rootldts和后門的阻止；通過(guò)授權(quán)的應(yīng)用程序運(yùn)行控制，不但可以保護(hù)惡意應(yīng)用程序?qū)φ?yīng)用程序的修改，還可以阻止未知的或者未授權(quán)的應(yīng)用程序的運(yùn)行。通過(guò)這些防護(hù)功能，對(duì)操作系統(tǒng)的安全性進(jìn)行擴(kuò)展。 本文首先分