基于策略的主机入侵检测技术研究及其在涉密内网中的应用

论文摘要

传统的入侵检测方法主要是误用检测和异常检测,在入侵检测系统中广泛使用,但其在应用中存在着维护困难、误报率高、报警的可靠性比较低等问题。这些问题出现的原因在很大程度上是因为它们针对潜在攻击的定义是上下文无关的。它们将违反安全策略的行为认为是入侵,而对于安全策略本身并未考虑在内。由于上述原因,当前基于策略的入侵检测方法逐渐被重视,此方法主要考虑是安全策略的本身,将其与系统及所在环境的实际情况结合,根据系统行为是否符合安全策略来检测入侵行为。基于策略的入侵检测方法维护成本低,误报率低,检测可靠性高,可以做到实时检测,并且可以阻止部分攻击。本文针对涉密内网的特征,设计并实现了一个基于策略的UNIX主机入侵检测系统。该系统采用基于策略入侵检测方法,以安全策略为中心,通过安全策略控制、审计系统用户的行为,检测并阻止入侵,加强服务器系统的安全性。该系统采用分布式结构,浏览器/服务器(B/S)的管理方式,采用基于策略的进程控制、网络控制、命令控制、登录控制、密码控制、文件完整性监控等多种安全策略检测处理入侵行为。原型系统测试表明,该基于策略的主机入侵检测系统维护成本低,警报的可靠性和准确性较高,并可以阻止一部分攻击。该方案对服务器系统安全有所加强,所占用的主机资源和网络资源较少,适用于针对涉密网等高安全级别的可信系统中。

论文目录

第一章绪论

1.1 立题背景及现状

1.2 论文工作所针对的目标和问题

1.3 论文工作的前景和价值

1.4 论文作者的主要工作

1.5 论文结构

第二章入侵检测系统

2.1 入侵检测系统的产生和发展

2.1.1 传统安全模型的局限性

2.1.2 入侵检测的产生

2.2 入侵检测系统的分类

2.2.1 基于主机的入侵检测系统

2.2.2 基于网络的入侵检测系统

2.3 入侵检测的方法

2.3.1 基于异常行为的入侵检测

2.3.2 基于特征的入侵检测

2.3.3 两种检测方法原理的比较

2.4 入侵检测系统模型

第三章基于策略的入侵检测系统

3.1 传统的入侵检测方法的缺点

3.2 基于策略的入侵检测思想

3.3 基于策略的入侵检测与传统入侵检测方法的关系

3.4 基于策略入侵检测相关系统

3.4.1 LIDS

3.4.2 eTrust Access Control

第四章涉密内网分析和基于策略主机入侵检测系统设计

4.1 涉密内网分析

4.1.1 涉密内网的特点

4.1.2 某涉密内网情况介绍

4.1.3 涉密内网安全需求分析

4.1.4 涉密内网UNIX主机安全风险分析

4.2 系统设计

4.2.1 系统设计目标

4.2.2 系统整体结构

4.2.3 系统安全策略描述

4.2.4 系统过程视图

4.2.5 系统模块结构

第五章系统详细设计及关键技术实现

5.1 接口设计

5.2 底层模块设计

5.2.1 登录模块设计

5.2.2 网络服务控制模块设计

5.2.3 安全SHELL模块设计

5.3 系统数据库设计

5.3.1 数据库构成

5.3.2 数据对象分析

5.3.3 数据流向分析

第六章运行及结果分析

6.1 实验环境及运行

6.1.1 原型系统实验环境

6.1.2 原型系统控制台界面

6.2 系统功能测试

6.2.1 测试条件

6.2.1 端口扫描测试

6.2.2 冒用登录测试

6.2.3 后门测试

6.3 系统性能测试

6.3.1 主机性能影响测试

6.3.1 网络负载测试

结论及进一步工作

致谢

参考文献

基于策略的主机入侵检测技术研究及其在涉密内网中的应用

论文摘要

论文目录

相关论文文献

猜你喜欢