基于進程行為的主機入侵防御系統(tǒng)的研究.pdf

1、課題是華中電網(wǎng)項目“計算機終端防護系統(tǒng)”的一個拓展，主要是針對當前計算機安全防護體系上對終端防護薄弱，以被動防御為主的一個現(xiàn)狀，研究并實現(xiàn)了為彌補這一缺陷實施更加有效防護的具有主動性的主機入侵防御系統(tǒng)。它基于主動可控防御理論，采用多種安全技術，以App-Sys模式構(gòu)建，通過采集信息與管理分析這些信息實施安全防御。
　　 由于計算機終端，不論是主機或者服務器，它們的活動是由進程來實現(xiàn)的，而進程的運行離不開操作系統(tǒng)，而且當前應用較多

2、的操作系統(tǒng)當屬Windows，也就是攻擊的發(fā)生即使繞過了安裝于操作系統(tǒng)之上的安全防護軟件，它也離不開操作系統(tǒng)服務例程的支持。主機入侵防御系統(tǒng)作為安全防護的最后一道防線，對進程行為的各項操作，包括文件操作，注冊表操作等，嚴密監(jiān)控行為的發(fā)生，對每一個將要執(zhí)行的動作予以跟蹤分析，確保主機的安全。
　　 針對Windows內(nèi)核系統(tǒng)調(diào)用機制進行了深入分析研究，使用了SSDT HOOK技術實現(xiàn)系統(tǒng)調(diào)用的截獲，在比應用層更底層的內(nèi)核層開發(fā)設備

3、驅(qū)動程序不易被惡意代碼躲避過去。
　　 入侵防御系統(tǒng)從系統(tǒng)層上進行防御，利用核心態(tài)系統(tǒng)調(diào)用截獲，通過系統(tǒng)調(diào)用截獲，對各種未知病毒的攻擊進行防范。利用用戶定制的系統(tǒng)安全訪問策略，在進程使用和進程的授權(quán)等方面對系統(tǒng)調(diào)用行為進行實時監(jiān)控與控制。實現(xiàn)了對注冊表，安全文件的保護；通過進程防殺保護自身的安全運行；通過程序執(zhí)行的控制，不但可以阻止未知程序運行，還可以防止惡意代碼的攻擊。通過這些保護，提升了操作系統(tǒng)的安全性。
　　 系統(tǒng)