本文關(guān)鍵詞：提高防御APT攻擊性能的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

  更多相關(guān)文章： 入侵檢測(cè)系統(tǒng) 沙箱 API Hook APT

【摘要】：隨著信息技術(shù)與網(wǎng)絡(luò)的不斷發(fā)展,各行各業(yè)均已實(shí)現(xiàn)了數(shù)字化、網(wǎng)絡(luò)化、智能化、一體化,網(wǎng)絡(luò)安全也受到了大家的高度關(guān)注,網(wǎng)絡(luò)安全不僅是各個(gè)網(wǎng)絡(luò)系統(tǒng)可靠運(yùn)行的保障,更關(guān)乎著系統(tǒng)數(shù)據(jù)的安全,隨著中國鐵路的不斷發(fā)展進(jìn)步,中國列車運(yùn)行控制系統(tǒng)(Chinese Train Control System, CTCS)也逐步實(shí)現(xiàn)了數(shù)字化、一體化的列車運(yùn)行網(wǎng)絡(luò)系統(tǒng)。CTCS的網(wǎng)絡(luò)安全一直受到人們的高度關(guān)注,其網(wǎng)絡(luò)安全不僅是保證鐵路運(yùn)行的效率和經(jīng)濟(jì)的保證,更關(guān)乎人們出行的安全。近幾年來,高級(jí)持續(xù)性威脅(Advanced Persistent Threat, APT)引起了國際、國內(nèi)的重視,APT是組織或個(gè)人以竊取信息,或者對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞為目的,運(yùn)用各種方式,對(duì)目標(biāo)系統(tǒng)進(jìn)行入侵或攻擊的行為。如2010年APT運(yùn)用震網(wǎng)(Stuxnet)病毒,專門定向攻擊真實(shí)世界中基礎(chǔ)(能源)設(shè)施,比如核電站,水壩,國家電網(wǎng)等。這種對(duì)特定目標(biāo)進(jìn)行長期、持續(xù)性、定向的網(wǎng)絡(luò)攻擊的形式對(duì)工業(yè)控制網(wǎng)絡(luò)具有很大威脅。因此,為了有效的防御APT攻擊,研究針對(duì)APT攻擊的特點(diǎn)的入侵檢測(cè)系統(tǒng)具有重要意義。本文首先對(duì)APT及入侵檢測(cè)系統(tǒng)的特點(diǎn)和現(xiàn)狀進(jìn)行了分析。針對(duì)傳統(tǒng)入侵檢測(cè)系統(tǒng)監(jiān)控用戶模式的系統(tǒng)API函數(shù)容易被惡意代碼發(fā)現(xiàn)并進(jìn)行隱藏,對(duì)0day漏洞防范不足的情況,確定了基用內(nèi)核調(diào)用監(jiān)控的系統(tǒng)實(shí)現(xiàn)方案。本文使用內(nèi)核級(jí)的API Hook技術(shù),在系統(tǒng),進(jìn)程,文件、注冊(cè)表、驅(qū)動(dòng)和網(wǎng)絡(luò)監(jiān)控等方面對(duì)內(nèi)核態(tài)的API函數(shù)調(diào)用進(jìn)行監(jiān)控和攔截,這樣對(duì)系統(tǒng)的監(jiān)控更加底層,可以得到更好的防御效果。同時(shí)對(duì)攻擊行為的操作進(jìn)行虛擬化,對(duì)系統(tǒng)資源進(jìn)行重定向,將攻擊行為隔離執(zhí)行,便于安全記錄和追蹤。經(jīng)測(cè)試,本系統(tǒng)對(duì)比傳統(tǒng)的入侵檢測(cè)系統(tǒng)有著更好的檢測(cè)性能和防御能力,對(duì)APT的防御和分析提供了一定的支持。
【關(guān)鍵詞】：入侵檢測(cè)系統(tǒng) 沙箱 API Hook APT
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08
【目錄】：

• 致謝5-6
• 摘要6-7
• ABSTRACT7-10
• 1 緒論10-12
• 1.1 研究背景10
• 1.2 論文主要工作10
• 1.3 論文組織結(jié)構(gòu)10-12
• 2 APT及入侵檢測(cè)系統(tǒng)12-28
• 2.1 APT攻擊12-17
• 2.1.1 APT介紹12-13
• 2.1.2 APT攻擊過程13-14
• 2.1.3 APT特點(diǎn)14-15
• 2.1.4 APT攻擊防御核心技術(shù)15-17
• 2.2 入侵檢測(cè)系統(tǒng)17-27
• 2.2.1 入侵檢測(cè)系統(tǒng)的介紹17-19
• 2.2.2 入侵檢測(cè)系統(tǒng)的分類19-23
• 2.2.3 入侵檢測(cè)系統(tǒng)的發(fā)展23-24
• 2.2.4 入侵檢測(cè)系統(tǒng)的問題24-26
• 2.2.5 入侵檢測(cè)系統(tǒng)的功能26-27
• 2.2.6 入侵檢測(cè)系統(tǒng)的改進(jìn)27
• 2.3 本章小結(jié)27-28
• 3 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)和沙箱結(jié)構(gòu)設(shè)計(jì)28-38
• 3.1 系統(tǒng)分析和設(shè)計(jì)28-31
• 3.1.1 系統(tǒng)功能和工作流程分析28-30
• 3.1.2 系統(tǒng)模塊劃分30-31
• 3.2 沙箱技術(shù)31-37
• 3.2.1 內(nèi)核級(jí)API Hook技術(shù)31-32
• 3.2.2 內(nèi)核模式驅(qū)動(dòng)程序32-35
• 3.2.3 系統(tǒng)服務(wù)描述符表35-37
• 3.3 本章小結(jié)37-38
• 4 入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)38-50
• 4.1 系統(tǒng)模塊/關(guān)鍵技術(shù)實(shí)現(xiàn)38-49
• 4.1.1 文件操作監(jiān)控38-41
• 4.1.2 注冊(cè)表操作監(jiān)控41-44
• 4.1.3 進(jìn)程操作監(jiān)控44-46
• 4.1.4 內(nèi)核操作監(jiān)控46-49
• 4.2 本章小結(jié)49-50
• 5 系統(tǒng)開發(fā)與測(cè)試50-56
• 5.1 開發(fā)環(huán)境50
• 5.2 工程的建立50-53
• 5.3 系統(tǒng)測(cè)試53-55
• 5.3.1 功能測(cè)試53-55
• 5.3.2 性能測(cè)試55
• 5.4 本章小結(jié)55-56
• 6 結(jié)論56-57
• 參考文獻(xiàn)57-59
• 作者簡歷及攻讀碩士/博士學(xué)位期間取得的研究成果59-61
• 學(xué)位論文數(shù)據(jù)集61

【相似文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 喻建平,閆巧;入侵檢測(cè)系統(tǒng)的發(fā)展及其研究方向[J];信息安全與通信保密;2002年05期

2 王自亮,羅守山,楊義先;入侵檢測(cè)系統(tǒng)的測(cè)試與評(píng)估[J];中國數(shù)據(jù)通信;2002年11期

3 張杰 ,戴英俠;入侵檢測(cè)系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢(shì)[J];郵電設(shè)計(jì)技術(shù);2002年06期

4 汪洋,龔儉;入侵檢測(cè)系統(tǒng)評(píng)估方法綜述[J];計(jì)算機(jī)工程與應(yīng)用;2003年32期

5 羅光春,張駿,盧顯良,李炯;入侵檢測(cè)系統(tǒng)的歷史、現(xiàn)狀與研究進(jìn)展[J];計(jì)算機(jī)應(yīng)用研究;2003年08期

6 褚永剛 ,宋傳恒 ,楊義先 ,胡正名;入侵檢測(cè)系統(tǒng)攻擊語言研究[J];信息安全與通信保密;2003年04期

7 郭濤,李守鵬;入侵檢測(cè)系統(tǒng)的測(cè)評(píng)方法[J];信息網(wǎng)絡(luò)安全;2003年03期

8 詹浩;入侵檢測(cè)系統(tǒng)及其在銀行中的應(yīng)用[J];中國金融電腦;2003年10期

9 周健祥,王興芬;一種基于多層次知識(shí)庫入侵檢測(cè)系統(tǒng)的設(shè)計(jì)[J];計(jì)算機(jī)應(yīng)用;2003年S2期

10 劉海東;入侵檢測(cè)系統(tǒng)及其發(fā)展趨勢(shì)[J];廣東經(jīng)濟(jì)管理學(xué)院學(xué)報(bào);2003年03期

中國重要會(huì)議論文全文數(shù)據(jù)庫 前10條

1 龔德忠;徐云峰;吳燕波;;基于模糊決策理論的入侵檢測(cè)系統(tǒng)可行性評(píng)估[A];第十九次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2004年

2 梁萬龍;;入侵檢測(cè)系統(tǒng)及其在電力企業(yè)綜合信息網(wǎng)中的應(yīng)用[A];廣東省電機(jī)工程學(xué)會(huì)2003-2004年度優(yōu)秀論文集[C];2005年

3 程三軍;;入侵檢測(cè)系統(tǒng)在應(yīng)用中的若干問題與對(duì)策[A];第十八次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2003年

4 陳金蘭;閆懷志;胡昌振;;躲避與攻擊入侵檢測(cè)系統(tǒng)的手段及防范[A];第十八次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2003年

5 韓豐;;入侵檢測(cè)系統(tǒng)在冶金企業(yè)中的部署[A];第十九次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2004年

6 雷琦;楊國偉;;基于無線局域網(wǎng)的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)[A];全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十二卷）[C];2007年

7 謝輝;王燕;龐濱;;數(shù)據(jù)挖掘在入侵檢測(cè)系統(tǒng)中的應(yīng)用[A];第二十四屆中國數(shù)據(jù)庫學(xué)術(shù)會(huì)議論文集（技術(shù)報(bào)告篇）[C];2007年

8 陳觀林;王澤兵;馮雁;;入侵檢測(cè)系統(tǒng)中的規(guī)劃識(shí)別研究[A];第六屆全國計(jì)算機(jī)應(yīng)用聯(lián)合學(xué)術(shù)會(huì)議論文集[C];2002年

9 劉冬梅;;協(xié)同防護(hù)入侵檢測(cè)系統(tǒng)[A];山東省計(jì)算機(jī)學(xué)會(huì)2005年信息技術(shù)與信息化研討會(huì)論文集（一）[C];2005年

10 陳曉煒;;入侵檢測(cè)系統(tǒng)分類法研究[A];2005通信理論與技術(shù)新進(jìn)展——第十屆全國青年通信學(xué)術(shù)會(huì)議論文集[C];2005年

中國重要報(bào)紙全文數(shù)據(jù)庫 前10條

1 離子翼;入侵檢測(cè)系統(tǒng)抵擋惡意攻擊[N];中國電腦教育報(bào);2005年

2 本報(bào)特約張昕楠;中小企業(yè)入侵檢測(cè)系統(tǒng)選中小企業(yè)入侵檢測(cè)系統(tǒng)選型[N];中國電腦教育報(bào);2005年

3 陳長松;需要入侵檢測(cè)系統(tǒng)的五個(gè)理由[N];中國計(jì)算機(jī)報(bào);2002年

4 北京長信泰康通信技術(shù)有限公司 宮鍵欣;入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)的區(qū)別[N];人民郵電;2008年

5 ;入侵檢測(cè)系統(tǒng)面臨的三大挑戰(zhàn)[N];中國計(jì)算機(jī)報(bào);2002年

6 何軍、高國棟、程文靜;國內(nèi)9款入侵檢測(cè)產(chǎn)品同臺(tái)亮相[N];中國計(jì)算機(jī)報(bào);2002年

7 譚崇暢;IDS值得投資嗎[N];中國計(jì)算機(jī)報(bào);2005年

8 趙毅;如何選擇入侵檢測(cè)設(shè)備[N];中國計(jì)算機(jī)報(bào);2007年

9 譚崇暢;捍衛(wèi)“最后一道防線”[N];網(wǎng)絡(luò)世界;2002年

10 賽迪評(píng)測(cè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室 何軍;誰給你更好的保護(hù)[N];中國計(jì)算機(jī)報(bào);2004年

中國博士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 宋世杰;基于序列模式挖掘的誤用入侵檢測(cè)系統(tǒng)及其關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2005年

2 李玲娟;數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用研究[D];蘇州大學(xué);2008年

3 金舒;入侵檢測(cè)系統(tǒng)性能提高新技術(shù)研究[D];南京理工大學(xué);2006年

4 鄧琦皓;分布式主動(dòng)協(xié)同入侵檢測(cè)系統(tǒng)研究與實(shí)踐[D];中國人民解放軍信息工程大學(xué);2005年

5 關(guān)健;入侵檢測(cè)系統(tǒng)數(shù)據(jù)分析方法及其相關(guān)技術(shù)的研究[D];哈爾濱工程大學(xué);2004年

6 李玉萍;基于先進(jìn)計(jì)算的智能入侵檢測(cè)系統(tǒng)研究[D];中國地震局地球物理研究所;2012年

7 劉剛;基于免疫遺傳算法的入侵檢測(cè)系統(tǒng)研究[D];鐵道部科學(xué)研究院;2006年

8 閆巧;基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)研究[D];西安電子科技大學(xué);2003年

9 傅濤;基于數(shù)據(jù)挖掘的分布式網(wǎng)絡(luò)入侵協(xié)同檢測(cè)系統(tǒng)研究及實(shí)現(xiàn)[D];南京理工大學(xué);2008年

10 劉美蘭;網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警技術(shù)研究[D];中國人民解放軍信息工程大學(xué);2002年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 劉濤;入侵檢測(cè)系統(tǒng)的評(píng)估方法與研究[D];河北大學(xué);2008年

2 王春艷;基于成本的入侵檢測(cè)系統(tǒng)評(píng)估分析方法研究[D];湖南大學(xué);2007年

3 鄒勉;基于數(shù)據(jù)挖掘的混合型入侵檢測(cè)研究[D];南京信息工程大學(xué);2015年

4 孫明鳴;基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)研究[D];中央民族大學(xué);2015年

5 趙原;基于異常分析的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

6 高波;數(shù)據(jù)挖掘在入侵檢測(cè)中的應(yīng)用研究[D];西南科技大學(xué);2015年

7 陳大鵬;基于用戶行為分析與識(shí)別的數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)的研究[D];電子科技大學(xué);2015年

8 盧帆;無線傳感器網(wǎng)絡(luò)路由協(xié)議與入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與研究[D];新疆大學(xué);2015年

9 袁騰飛;基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)研究[D];電子科技大學(xué);2014年

10 劉s;網(wǎng)絡(luò)入侵檢測(cè)關(guān)鍵技術(shù)研究與應(yīng)用開發(fā)[D];電子科技大學(xué);2013年

，

本文編號(hào)：1026161