论文摘要
网络的普遍使用给企业和组织带来了巨大便利,同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入,内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁,来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题,并且积极地寻求应对方法。尽管内部威胁不同于外部入侵,但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁,如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁,系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对Windows平台利用系统调用进行异常检测的研究并不多。鉴于此,本文在信息系统内部威胁这一背景下,对Windows平台上的内部威胁检测技术进行了研究,主要工作如下:首先阐述了内部威胁的概念和特点,介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想,提出了一种基于角色的内部威胁检测概念模型;然后分析了Windows平台上的各种系统调用拦截技术,设计了修改中断描述符表的方法来截获Windows Native API;针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足,提出了一种基于隐马尔可夫模型的检测新方法,该方法能够更有效地检测出程序异常;最后以通用入侵检测框架为基础,设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中,该系统能够较好地检测出内部威胁。
论文目录
摘要ABSTRACT第一章 绪论1.1 课题背景1.2 课题研究意义1.3 国内外研究现状1.4 主要工作1.5 论文的组织结构第二章 相关知识概述2.1 入侵检测概述2.1.1 入侵检测系统2.1.2 入侵检测系统分类2.1.3 入侵检测的信息源2.2 信息系统内部威胁概述2.2.1 内部威胁概念2.2.2 内部威胁特点2.2.3 内部威胁的解决方案2.3 系统调用机制概述2.3.1 系统调用2.3.2 Windows 系统调用2.4 基于系统调用的异常检测方法概述2.5 本章小结第三章 内部威胁检测模型研究3.1 内部威胁模型概述3.1.1 内部威胁因素模型3.1.2 内部人员威胁模型3.1.3 内部威胁行为模型3.2 基于角色的访问控制技术简介3.3 基于角色的内部威胁检测模型3.3.1 模型描述3.3.2 工作原理3.3.3 性能分析3.4 本章小结第四章 Windows 系统调用拦截技术研究4.1 系统调用拦截技术简介4.2 用户级拦截技术研究4.2.1 代理动态链接库4.2.2 修改Call 指令4.2.3 修改API 函数4.2.4 修改输出地址表4.3 内核级拦截技术研究4.4 修改中断描述符表截获 Native API4.4.1 保护模式下的中断处理4.4.2 截获方法4.4.3 实验及结果分析4.5 本章小结第五章 基于系统调用的异常检测方法研究5.1 基于序列枚举的检测方法5.2 隐马尔可夫模型相关理论5.2.1 基本概念5.2.2 隐马尔可夫模型的基本问题5.3 隐马尔可夫模型在异常检测中的应用分析5.3.1 基于隐马尔可夫模型的检测原理5.3.2 评估问题解法的不足5.4 基于隐马尔可夫模型的检测新方法5.4.1 建立模型5.4.2 构建正常轮廓库5.4.3 检测5.5 异常检测实验5.5.1 实验设计5.5.2 实验结果5.6 本章小结第六章 基于系统调用的内部威胁检测系统设计与实现6.1 系统总体设计6.1.1 通用入侵检测框架6.1.2 系统结构6.1.3 系统流程6.2 系统组件设计与实现6.2.1 事件产生器设计与实现6.2.2 事件分析器设计与实现6.2.3 事件数据库设计与实现6.2.4 响应单元设计与实现6.3 实验和结果6.4 本章小结第七章 结束语致谢参考文献作者在学期间发表的学术论文
相关论文文献
标签:内部威胁论文; 角色论文; 异常检测论文; 系统调用论文; 系统调用拦截论文; 隐马尔可夫模型论文;
