学位论文 > 优秀研究生学位论文题录展示
桌面安全防御系统关键技术的研究与实现
作 者: 王静
导 师: 孙潮义
学 校: 中国舰船研究院
专 业: 计算机软件与理论
关键词: 桌面安全 主动防御 系统调用 入侵检测 阻断
分类号: TP309
类 型: 硕士论文
年 份: 2011年
下 载: 14次
引 用: 1次
阅 读: 论文下载
内容摘要
由于Windows在桌面操作系统中的巨大市场占有率及其自身的一些漏洞,以Windows为代表的桌面操作系统的安全问题正越来越被重视。传统的杀毒软件采用基于特征库的单点、片段式拦截方式,只能查杀已知病毒,无法防范未知入侵,且频繁地更新病毒特征库更是给系统资源造成了巨大的影响,已经不能满足目前的桌面系统安全性强、实时性高的安全需要。针对这种现状,本文深入研究了桌面安全防御中的异常检测、实时阻断等几项关键技术,最终设计并实现了一种不依赖于病毒特征库,而是基于进程行为的主动式入侵检测防卫系统。本文所作的工作总结如下:(1)对桌面安全主动防御系统进行了整体设计,并完成了各个模块的软件实现,形成了一套原型系统。通过建立内核虚拟设备来查找并定位系统中唯一的系统服务分配表,从而截获系统关键进程产生的实时系统调用序列,进行检测分析以及采取阻断措施等。本软件以内核驱动的形式加载到操作系统中,运行效率高,能够更直接、快速地捕捉到程序的行为轨迹。(2)基于行为模型的异常检测算法研究与实现。设计了在Windows操作系统内核下基于系统调用短序列的异常检测方法的具体实现流程,使用ERDA检测算法计算进程产生的实时系统调用序列的正常指数,并在原算法上引入滑动窗口机制,通过计算窗口内的平均正常指数和设定的阈值进行比较来判别异常。改进后的算法中滑动窗口的步长可动态更改,能随时调整检测粒度,增强了检测过程的可控性。(3)提出了一种基于滑动窗口的自适应安全阻断机制。现有的安全阻断机制大多只具有有限的自适应性,不能均衡处理响应的有效性与对系统造成的负载之间的关系。由于入侵行为产生的异常系统调用序列通常具有瞬时高频性,本文提出正常密集度和异常密集度两个指标来衡量进程的安全状态,采用“网络熵”理论确定滑动窗口的改变时间以及改变幅度的量化计算方法。论文提出的阻断机制能根据系统的实时安全状况动态改变阻断策略,有效缓解了响应的有效性与负载平衡问题,具有良好的自适应性。论文通过实验对桌面安全主动防御软件进行了整体测试和分析,选取了在Windows平台上几种典型的攻击类型对系统进行了验证。实验结果证明本文提出的改进后的检测算法以及自适应阻断机制能很好的应用于Windows桌面操作系统中,对抵御各种恶意行为,尤其是未知入侵具有良好的实时防御效果;同时对系统的负载小、自适应性强,具有广阔的应用前景。
|
全文目录
摘要 4-5 ABSTRACT 5-9 图表目录 9-11 第1章 绪论 11-19 1.1 论文背景 11-12 1.1.1 桌面安全面临的严重威胁 11-12 1.1.2 桌面安全研究的意义 12 1.2 国内外研究现状 12-17 1.2.1 入侵检测技术 12-15 1.2.2 入侵响应技术 15-16 1.2.3 相关模型和产品研究现状 16-17 1.3 论文的主要工作及结构安排 17-19 1.3.1 论文所完成的主要工作 17 1.3.2 论文的结构和章节安排 17-19 第2章 桌面安全主动防御系统的总体设计 19-23 2.1 设计思路 19-20 2.2 总体框架 20-21 2.3 系统处理流程 21-22 2.4 本章小结 22-23 第3章 系统调用截获技术的研究与实现 23-33 3.1 系统调用概述 23-24 3.1.1 系统调用的定义 23 3.1.2 系统调用的执行过程 23-24 3.2 系统调用截获技术 24-27 3.2.1 用户态截获 24-25 3.2.2 核心态截获 25-27 3.2.3 各系统调用截获技术优缺点分析 27 3.3 系统调用截获模块的实现 27-32 3.3.1 编写内核虚拟设备驱动 27 3.3.2 系统调用的截获流程 27-29 3.3.3 实验结果 29-32 3.4 本章小结 32-33 第4章 基于行为模型的异常检测方法的研究与实现 33-44 4.1 概述 33 4.2 异常检测算法相关研究 33-35 4.3 基于行为模型的异常检测模型 35-43 4.3.1 进程存储树的结构 35-37 4.3.2 检测流程 37-40 4.3.3 检测算法 40-43 4.4 本章小结 43-44 第5章 自适应安全阻断机制的研究与实现 44-53 5.1 安全阻断概述 44 5.2 相关研究 44-47 5.2.1 记录安全日志 44 5.2.2 发送报警 44-45 5.2.3 常规响应操作 45-46 5.2.4 限制网络连接 46-47 5.2.5 延缓系统调用 47 5.3 采用滑动窗口进行自适应安全阻断设计 47-52 5.3.1 相关定义 47-48 5.3.2 基于滑动窗口的自适应安全阻断模型 48-49 5.3.3 滑动窗口的选取 49-50 5.3.4 滑动窗口长度的限制 50 5.3.5 阻断算法描述 50-52 5.4 本章小结 52-53 第6章 实验及结论分析 53-60 6.1 功能测试 53-59 6.1.1 针对缓冲区溢出攻击的实验 53-55 6.1.2 针对蠕虫传播的实验 55-58 6.1.3 针对几种流行木马传播的实验 58-59 6.2 性能测试 59 6.3 实验结果分析 59 6.4 本章小节 59-60 第7章 总结与展望 60-62 7.1 总结 60 7.2 下一步工作计划 60-62 致谢 62-63 参考文献 63-68 学术论文和科研成果目录 68-69 详细摘要 69-71
|
相似论文
- 基于行为可信的无线传感器网络入侵检测技术的研究,TP212.9
- K_ATP通道阻断剂格列苯脲对失血性休克大鼠肺损伤的影响,R605.971
- 基于关联规则挖掘的入侵检测系统的研究与实现,TP393.08
- 基于机器学习的入侵检测系统研究,TP393.08
- 移动AdHoc网网的入侵检检:基于时时有限状状自动机方法,TN929.5
- 高速网络环境下的入侵检测系统的研究,TP393.08
- 无线传感器网络安全问题的研究,TN915.08
- 正交权函数神经网络灵敏度研究及其应用,TP183
- Linux下基于神经网络的智能入侵检测系统研究,TP393.08
- 基于Petri网的网络入侵检测系统研究与实现,TP393.08
- 基于FSVM的数据挖掘方法及其在入侵检测中的应用研究,TP393.08
- 基于Web日志的入侵检测系统设计与实现,TP393.08
- IPv4-IPv6过渡技术下基于CIDF的入侵检测系统的设计,TP393.08
- 基于数据挖掘的入侵检测技术的研究,TP393.08
- 基于信任度量机制的入侵检测系统研究与实现,TP393.08
- 并行与分布入侵检测技术研究,TP393.08
- 基于粗糙集属性约简和加权SVM的入侵检测方法研究,TP393.08
- DCA算法和NSA算法结合的入侵检测模型研究,TP393.08
- 基于协议分析和免疫原理的入侵检测技术研究,TP393.08
- 基于关联规则的入侵检测系统设计与实现,TP393.08
- 基于改进CUSUM算法的DNS缓存攻击检测,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com
|