论文摘要
近年来,针对主机的攻击日趋增多,同时,主流操作系统经常会暴露出安全漏洞,应用程序也不断出现安全缺陷,极大地威胁了主机安全。传统的安全防护手段如防火墙、入侵检测系统、防病毒软件等由于工作机制的限制无法有效保护主机安全。入侵防御系统(IPS)作为一种新的安全解决方案,成为了研究的热点。本文对如何设计与实现入侵防御系统的问题进行了比较深入的研究,所做的主要工作如下:1.分析了典型攻击手段及Windows NT系列操作系统的安全机制,总结描述了一般的攻击过程,提出了基于完整性安全模型完善入侵防御系统设计的思想。2.深入分析了经典的完整性安全模型,通过对各模型特点的比较,以Clark-Wilson(CW)完整性模型为基础,针对其在应用上存在的缺陷及对主机和网络进行有效防护的需要,提出了CW扩展模型,能够提供与CW模型等同的完整性,但更便于实施。基于提出的模型,设计了入侵防御系统的体系结构,由主机防护子系统和网络防护子系统两部分组成。3.按照基于CW扩展模型的入侵防御系统体系结构的要求,设计并实现了基于Windows NT系列操作系统平台的主机防护子系统和基于国产千兆线速内容过滤平台的网络防护子系统。主机防护子系统在操作系统内核监控系统调用,按照主机规则对系统进程和应用程序的行为进行动态控制,依据完整性验证列表(CDIs)对系统初始状态进行完整性验证,能够有效保护主机系统的完整性免受各类攻击破坏;网络防护子系统集入侵防御、URL过滤、防病毒、防Dos攻击及内容过滤功能于一体,能够对网络数据中包含的攻击行为、病毒或敏感信息进行深度过滤,是主机防护的重要补充。通过测试,验证了基于CW扩展模型的入侵防御系统能够有效阻止各种攻击。