（计算机应用技术专业论文）主机入侵防御系统的研究与实现.pdf

摘耍 摘要 随着计算机、网络等技术的迅猛发展，现实世界越来越依赖于计算机系统。一方面， 人们享受着这些信息技术带来的巨大进步；另一方面，又不得不面对着越来越严重的信息 安全威胁，特别是恶意代码( 病毒、木马、蠕虫等) 带来的安全威胁。 本文讨论的基于w i n d o w s 平台的主机入侵防御系统即w i n h i p s ( w i n d o w s - n t f a m i l yh o s ti n t r u s i o np r e v e n t i o ns y s t e m ) ，完全是在内核模式下进行控制以及援引关键 系统调用来保证w i n d o w s 操作系统的安全。它作为一个内核驱动程序，通过使用 w i n d o w s 操作系统的内核结构来实现。因为被集成在操作系统内，所以不需要更改内核 的数据结构，或核心算法。对于应用进程来说，w i i m i p s 是透明的，它可以不用考虑源 代码被修改或者重新编译而继续工作。本文实现的工作原型适用于所有的w i n d o w sn t 系列的操作系统，如w i n d o w s2 0 0 0 x p 2 0 0 3 。 本文从理论和实践两个方面，研究了基于行为的w i n h i p s 系统设计开发所涉及到 的一些关键技术问题，取得了以下几个方面的工作成果：1 w i i l h i p s 通过应用干预技术运 用在不开放源代码的w i n d o w s 操作系统中。因为w i n d o w s 内核结构对于程序员来说是 隐藏的，并且，它的内核说明文档也非常少，所以实现起来也相当的困难。2 针对目前 基于行为的h i p s 实现技术上存在的不足，结合w i n d o w s 体系结构，将过滤器技术应用 到对用户行为的拦截上。3 采用过滤器、系统调用“钩子 等技术，实现w i n h i p s 系统 各功能组件。4 将安全模型应用到w i n d o w s 系统中，把类、授权等映射到w i n d o w s 的 具体内核变量和系统调用函数上。5 通过对恶意代码作用机制、作用过程的分析，从操 作系统访问控制的角度概括出基于行为h i p s 的访问策略库。最后对系统进行了性能、 攻击测试，希望在此基础上为主机入侵防御系统的研究和丌发提供一定的技术和经验。 关键词：主机入侵防御系统；基于行为；访问控制；系统调用；应用进程 人连交通大学t 学硕十学位论文 a b s t r a c t w i t l lt h er a p i dd e v e l o p m e n to fc o m p u t e r ，n e t w o r kt e c h n o l o g y ，t h er e a lw o r l di s i n c r e a s i n g l yd e p e n d e n to nc o m p u t e rs y s t e m s o no n eh a n d ，p e o p l ee n j o yt h ei n f o r m a t i o n t e c h n o l o g yw h i c hb r o u g h ta b o u tt h et r e m e n d o u sp r o g r e s s ；o nt h eo t h e rh a n d ，h a v et of a c et h e g r o w i n gi n f o r m a t i o ns e c u r i t yt h r e a t s ，e s p e c i a l l yc a u s e db ym a l i c i o u sc o d e ( v i r u s e s ，t r o j a n s ， w o r m s ，e t c ) w ep r o p o s eah o s ti n t r u s i o np r e v e n t i o ns y s t e mc a l l e dh i p sb a s e do nw i n d o w st h a t c o n t r o l s ，e n t i r e l yi nk e r n e lm o d e ，t h ei n v o c a t i o no ft h ec r i t i c a ls y s t e mc a l l sf o rt h ew i n d o w s o ss e c u r i t y w i n h i p si si m p l e m e n t e da sak e r n e ld r i v e r b yu s i n gk e r n e ls t r u c t u r e so ft h e w i n d o w so s i ti si n t e g r a t e dw i t h o u tr e q u i r i n gc h a n g e st oe i t h e rt h ek e m e ld a t as t r u c t u r e so r t ot h ek e r n e la l g o r i t h m s ，a n dw i n h i p si sa l s ot r a n s p a r e n tt ot h ea p p l i c a t i o np r o c e s s e st h a t c o n t i n u et ow o r kc o r r e c t l yw i t h o u ts o u r c ec o d ec h a n g e so rr e c o m p i l a t i o n n ew o r k i n g p r o t o t y p ei sa p p l i c a b l et oa l lt h ew i n d o w s n tf a m i l yo s e g w i n d o w s2 0 0 0 x p 2 0 0 3 i nt h i st h e s i s ，w es t u d ys o m ek e yt e c h n o l o g yp r o b l e m so nd e s i g na n dd e v e l o p m e n to f b e h a v i o r - b a s e dw i n h i p sf r o mt h e o r ya n dp r a c t i c ea s p e c t s ：1 t h ew i i m i p s s f i r s t c o n t r i b u t i o ni st oa p p l yt h es y s t e mc a l li n t e r p o s i t i o nt e c h n i q u et ot h ew i n d o w so s ，w h i c hi s n o to p e ns o u r c e i ti sn o ts t r a i g h tf o r w a r dt oa p p l yt h i st e c h n i q u et ow i n d o w so s ，a l s o b e c a u s ew i n d o w sk e r n e ls t r u c t u r e sa r eh i d d e nf r o mt h ed e v e l o p e r ，a n df u r t h e r m o r e ，i t sk e r n e l d o c u m e n t a t i o ni sp o o r s oi ti ss od i f f i c u l tt oi m p l e m e n t 2 b e c a u s eo ft h es h o r t a g eo f a c h i e v i n gt e c h n o l o g yo fc u r r e n tb e h a v i o r - b a s e dh i p s ，w ea p p l yf i l t e rd r i v e rt e c h n o l o g yt o c h e c ku pu s e rb e h a v i o ri nw i n d o w s 3 u s i n gf i l t e rd r i v e ra n ds y s t e mc a nh o o kt e c h n o l o g y ， w ei m p l e m e n ta l ls y s t e m 4 w ea p p l yt h es e c u r i t yp o l i c ym o d e lt h a tw eh a v ed e f i n e dt o w i n d o w s a n dm a pt h ec l a s s e st ok e r n e lv a r i a b l e s ，t h ep e r m i t st os o m es y s t e mc a l l 5 b yt h e a n a l y s i so ft h ew o r k i n gm e c h a n i s ma n dc o u r s eo nm a l w a r e ，w eg e n e r a l i z et h ea c b ( a c c e s s c o n t r o lb a s e ) o fb e h a v i o r b a s e dw i n h i p sf r o mo sa c c e s sc o n t r o la s p e c t a tl a s tw et e s tt h e p e r f o r m a n c ea n da b i l i t yo ft h es y s t e mt ok e e pu pa t t a c kf o rs y s t e m ，a n dh o p e t op r o v i d es o m e t e c h n o l o g i e sa n de x p e r i e n c e s t ot h er e s e a r c ha n dd e s i g no fh i p s k e yw o r d s ：w i n h i p s ；b e h a v i o r - b a s e ；a c c e s sc o n t r o l ；s y s t e mc a l l ；a p p l i c a t i o np r o c e s s e s i i 大连交通大学学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了文中特别加以标注和致谢及参考 文献的地方外，论文中不包含他人或集体已经发表或撰写过的研究成 果，也不包含为获得太整塞通太堂或其他教育机构的学位或证书而 使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在 论文中作了明确的说明并表示谢意。 本人完全意识到本声明的法律效力，申请学位论文与资料若有不 实之处，由本人承担一切相关责任。 学位论文作者签名： b 酶、妙3 年多r 吻b 大连交通大学学位论文版权使用授权书 本学位论文作者完全了解太整塞通太堂有关保护知识产权及保 留、使用学位论文的规定，即：研究生在校攻读学位期间论文工作的 知识产权单位属一太蓬塞通太堂，本人保证毕业离校后，发表或使用 论文工作成果时署名单位仍然为大连交通大堂。学校有权保留并向 国家有关部门或机构送交论文的复印件及其电子文档，允许论文被查 阅和借阅。 本人授权太整塞通太堂可以将学位论文的全部或部分内容编入 中国科学技术信息研究所中国学位论文全文数据库等相关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 、 又。 ( 保密的学位论文在解密后应遵守此规定) 学位论文作者签名钐 日期：励t 力月乡日 学位论文作者毕业后去向： 3 _ - 作单位： 通讯地址： 电子信箱： 导臌：彳亏阻 黾蜘马辱夕r - b b 电话： 邮编： 绪论 绪论 随着互联网的发展，整个社会对计算机网络依赖越来越大，互联网实现了资源与信 息的共享，在方便用户的同时，也暴露出越来越多的问题，如木马病毒的泛滥，对个人 与企业用户造成了巨大的损失。仅在2 0 0 7 年，新病毒超过9 0 万，比2 0 0 6 年增加了7 0 7 ， 其中以窃取信息为目的的木马与后门病毒( 熊猫烧香、灰鸽子等等) 更是占病毒总数的 8 4 5 ，达到7 7 万个。随着病毒技术的发展与数量的增加，已经无法单纯的仅通过杀毒 软件被动查杀的方式对病毒进行分析与清除，因此具有主动防御特性的主机入侵防御系 统( h i p s ) 越来越受到安全厂商与用户的关注，成为网络安全领域技术研究的热点。 对于网络客户端和服务器安全的攻击往往是针对一个特定的应用进程中存在的开 发缺陷的。众所周知，恶意用户使一个或多个内存缓冲器溢出，导致函数调用后返回一 段完全不同的恶意代码，就是利用应用程序缺陷来实现的，并且这个被利用的应用进程 仍然会维持它的特殊权限( 如果有的话) ，这可能引发的后果是，如果黑客成功的攻击 了一个具有特权的应用程序，他就可能得到整个系统的控制权。 本文介绍了一个基于w i n d o w s 操作系统的实时监测违反安全规则的行为和系统调 用请求的主机入侵防御系统( w i n h i p s ) 的原理与实现，它完全在内核模式下实行干预， 并且通过系统调用接口来实现访问控制的功能，同时要求不得改变任何w i n d o w s 内核 代码以及现有系统调用的语法和语义。基本上，系统调用仅在调用进程或者系统调用参 数完全符合内核里面的访问控制数据库( a c d ) 中的规则时，才被允许执行。h i p s 的 任务就是保护w i n d o w s 操作系统中可能被攻击或劫持的控制特权进程。 本文讨论的h i p s 也可以被称作w i n h i p s ，w i n d o w s - n tf a m i l yh o s ti n t r u s i o n p r e v e n t i o ns y s t e m 。实际上，入侵防御系统( i p s ) 是利用主机上的预防性的行为来阻止 入侵的企图，以保护系统免受攻击的。本系统选择w i n d o w sx p 作为w i n d o w s 系列的代 表，不过它的设计考虑是针对于所有的w i n d o w s 操作系统的。w i n h i p s 的第一个贡献 是将系统调用干预技术应用在w i n d o w s 操作系统上，虽然这是项众所周知的技术，但 是因为w i n d o w s 操作系统的不开放源代码性我们也无法找到有任何类似想法的相关著 作作为参考；并且因为这种解决方案很难在对于程序员们隐藏的w i n d o w s 操作系统的 内核结构中设计和实现。 研究背景 随着网络的不断普及，信息的传播速度越来越快，软件系统也越来越复杂，随之而 来的是主机安全问题日益严峻，我们一旦接入互联网就会面临黑客的扫描、网页恶意代 人连交通人学t 学硕十学位论文 码、病毒、间谍软件、木马、流氓软件等各种威胁。为了解决这些问题，安全厂家先后 研发出了个人防火墙、防病毒软件等安全产品，但是这些产品仍然受到了前所未有的挑 战： 首先，传统的个人防火墙不再有效。传统的个人防火墙，如天网个人防火墙等，可 以对经过本机的网络数据流量进行控制，做到不允许外部计算机扫描本机，同时本机只 有指定的应用程序可以外出访问网络，高级些的防火墙还可以对外出访问的目标地址、 端口和协议进行过滤。但是现在网络威胁已经远远不是端机的主要威胁，黑客们更习惯 在你访问某个网站时通过浏览器悄悄地下载一个恶意软件，然后想办法让它运行，进而 盗走敏感信息，或者弹出广告窗口。在这种趋势下，仅简单对网络访问进行控制而不对 应用程序行为进行控制的传统个人防火墙将难以应对。 其次，基于特征码扫描技术的防病毒产品面临巨大挑战。2 0 0 7 年在美国旧金山举行 的r s ac o n f e r e n c e 大会上，专家纷纷表示，“越来越复杂的恶意软件不断繁衍，传统 的、以签名( 特征码) 为基础的安全软件对于病毒和蠕虫的阻挡能力正受到越来越多的 质疑。 “仅2 0 0 7 年一年就会新出现至少2 0 万种病毒及变种，签名技术正在网络黑客 的攻击下摇摇欲坠。同时，反病毒软件公司的病毒库都平均落后于恶意软件两个月。 在国内，熊猫烧香病毒的肆虐也说明了这样一个问题，病毒已经和系统漏洞、流氓软件 等进行了捆绑，变种更新和传播的速度远超想象，在没有新的特征库更新前防病毒软件 对未知病毒束手无策。 由于上述种种原因，安全厂家开始寻找新的解决方案，以主动防御为思想的主机入 侵防御系统日渐成熟，h i p s 将是以后系统安全发展的一种趋势，只要你有足够的专业 水平，你可以只用h i p s 而不再需用杀毒软件。 国内外研究现状 h i p s 软件在国内信息安全市场上是个新概念，在国外已经逐步进入规范化发展的 轨道，国人所熟知的s s m 、s n s 都是这个领域的先驱。随着一些国际大公司相继推出 h i p s 产品，我们已经看到了未来主机安全产品一体化、主动安全产品替代传统被动安 全产品这一发展趋势，h i p s 的出现意味着防毒变革已经悄然到来，这对饱受恶意软件 折磨的计算机安全领域来说将是一场精彩的盛宴。 反观国内h i p s 市场，三大防病毒软件提供商：瑞星、金山和江民截至目前尚未推 出任何此类产品，中网、微点、e q 是目前国内较早推出以主动防御为思想的h i p s 产品 的提供商，提供的软件在功能上差别也较大。 2 绪论 常用的h i p s 软件有：国外的s n s ( s a f e ns e cp e r s o n a l ) 一a d + f d + r d ，s s m ( s y s t e m s a f e t ym o n i t o r ) ，p g ( p r o c e s s g u a r d 和p o r te x p l o r e r ) 一a d + r d ，g s s ( g h o s ts e c u r i t y s u i t e ) 一一a d + r d ，s s ( s a f e s y s t e m2 0 0 6 ) 一一f d 入侵检测技术概述 1 入侵检测技术的产生和发展 入侵检测的研究最早可追溯到1 9 8 0 年，j a m e s a d e r s o n 首先提出了入侵检测的概念， 将入侵尝试( i n t r u s i o na t t e m p t ) 或威胁( t h r e a t ) 定义为：未经授权蓄意尝试访问信息、篡改 信息、致使系统不可靠或无法使用的企图。h e a d y 给出另外的入侵定义：入侵是指有关试 图破坏资源的完整性、机密性及可用性的活动。1 9 8 7 年d o r o t h y 提出一个通用的入侵检 测系统模型( 如下图所示) ，首次将入侵检测的概念作为一种计算机系统安全防御问题的 措施提出。i i 】 通用入侵检测系统模型 g e n e r a li n t r u s i o nd e t e c t i o ns y s t e mm o d e l 该模型基于这样的假设：计算机的入侵行为可以通过检查系统的审计记录等，从中辨 识异常使用系统的入侵行为。该模型由以下6 个主要部分构成： ( 1 ) 主体( s u b j e c t ) ：指系统活动中的主动发起者，如操作系统的进程、网络的连接等； 大连交通人学t 学硕十学何论文 ( 2 ) 对象( o b j e c t ) ：指系统所管理的资源，如文件、设备、命令等； ( 3 ) 审计记录( a u d rr e c o r d ) ：指主体对对象的实施操作时所产生的数据，如用户注 册、命令执行和文件访问等； ( 4 ) 活动轮廓( a c t i v i t yp r o f i l e ) ：指用以刻画主体对对象的活动的有关信息，具体实现 依赖于检测方法，例如在统计方法中从事件数量、频度、资源消耗等方面度量； ( 5 ) 异常记录( a n o m a l yr e c o r d ) ：用以表示发生异常事件的情况； ( 6 ) 活动规贝t ( r u l es e t s ) ：规则集是检查入侵是否发生的处理引擎，结合活动轮廓用 专家系统或概率统计等检测方法对审计记录进行分析，并调整内部规则或统计信息等。 早期的i d s 系统都是基于主机的系统，也就是说通过监视与分析主机的审计记录检 测入侵。1 9 8 8 年，进一步改进了d e n n i n g 提出的入侵检测模型，并创建了i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) ，该系统用于检测单一主机的入侵尝试，提出了与系统平台无 关的实时检测思想，1 9 9 5 年开发了i d e s 完善后的版本n i d e s ( n e x t g e n e r a t i o ni n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) ，其可以检测多个主机上的入侵。1 9 9 0 年，h e b e r z e i n 等提出了 一个新的概念：基于网络的入侵检测n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ，n s m 与此前的i d s 系统最大的不同在于它并不检查主机系统的审计记录，它通过在局域网上主动地监视网 络信息流来追踪可疑的行为。1 9 9 4 年，m a r k c r o s b i 和g e n e s p a f f o r d 建议使用自治代理 以便提高i d s 的可伸缩性、可维护性、效率和容错性。近年来，f o r r e s t 等将系统免疫原 理运用到分布式入侵检测领域，而r o s s a n d e r s o n 和a b i d a k h a t t a k 则将信息检索技术引 进到入侵检测方法中。 2 入侵检测技术的分类 根据采用的技术分为如下两种检测： ( 1 ) 异常检测( a n o m a l yd e t e c t i o n ) ： 异常检测假定：用户行为表现为可预测的、一致的系统使用模式，而入侵者活动异常 于正常用户的活动，根据这一理念建立用户正常活动的“行为模型 。进行检测时，将 使用者的行为或资源使用状况与“行为模型 相比较，从而判断该活动是否是入侵行为。 例如事先定义一组系统“正常 情况的阈值，如c p u 利用率、内存利用率、特定类型 的网络连接数、访问文件或目录次数、不成功注册次数等( 这类数据可以人为定义，也 可以通过观察系统、并用统计的办法得出) ，然后将系统运行时的数值与所定义的“正 常”情况比较，得出是否有被攻击的迹象。异常检测与系统相对无关，通用性较强，它 甚至有可能检测出以前未出现过的攻击方法。1 2 】异常检测的关键在于如何建立“行为模 型”以及如何设计检测算法来降低过高的误检率和漏检率，因为不可能对整个系统内的 4 绪论 所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，尤其在用户数目众 多，或工作目的经常改变的环境中。 ( 2 ) 误用检钡, 1 ( m i s u s i n gd e t e c t i o n ) ： 也称特征( s i g n a t u r e ) 检测，这一检测假设入侵者活动可以用某种模式特征来表示， 系统的目标是检测主体活动是否符合这种模式特征。该方法的一大优点是只需收集相关 的数据集合并依据具体特征库进行判断，显著减少了系统负担，且技术已相当成熟。它 与病毒防火墙采用的方法类似，检测准确率和效率都相当高。但是，该方法存在的弱点 在于与具体系统依赖性太强，系统移植性不好，且不能检测到从未出现过的黑客攻击手 段，需要不断的升级以对付新出现的入侵手段。 3 入侵检测技术存在问题及发展趋势 自1 9 8 0 年提出入侵检测概念起，入侵检测技术逐步在实际中得到了较为广泛的应 用，但仍有一些问题有待进一步解决。总地来说，主要有以下问题： 1 、自适应差 传统的入侵检测系统在开发时没有考虑特定网络环境的需求，而网络上的数据是随 着网络应用的变化而改变的，网络技术在发展，网络设备变得复杂化、多样化，这就意 味着系统不能根据数据的变化自适应的修改检测模式。所以，需要入侵检测产品能动态 调整，适应不同环境需求。 2 、误报、漏报率问题 由于事先定义的模式很难精确地划分正常行为和入侵行为之间的界限，入侵检测的 误报率一直居高不下，使得系统管理员疲于应付，增加了管理员的负担，降低了对真正 报警的敏感度。【3 】当有新的攻击方法产生和新漏洞发布时，入侵检测系统的攻击特征库 不能及时更新，一些新的入侵行为将不能被系统侦测，而产生漏报。漏报及误报的发生， 都会对入侵检测系统的可用性产生相当的影响。 3 、处理速度上的瓶颈 在入侵检测系统中，截获网络中每一个数据包，并分析、匹配其中是否具有某种攻 击的特征，需要花费大量的时间和系统资源。如果处理速度跟不上网络数据的传输速度， 必然影响到检测准确性和有效性。【5 】当前，大部分百兆、千兆i d s 产品的性能指标与实 际要求还存在很大差距。随着核心网络带宽容量和用户对带宽要求的迅速增加，高速网 络环境下系统对数据包捕获与分析的能力都会显著降低。如何提高入侵检测速度以适应 高带宽、高流量网络已经成为急需解决的问题。 4 、入侵检测系统的互动能力 5 大连交通人学r = 学硕十学位论文 在大型网络中，网络的不同部分可能使用了多种i d s ，甚至还有防火墙、漏洞扫描 等其它类别的安全设备，这些i d s 之间以及i d s 和其它安全组件之间，如何交换信息， 共同协作来发现攻击，并阻止攻击，是关系整个系统安全性的重要因素。 研究内容和结构安排 本课题的研究内容是在w i n d o w sn t 系列操作系统中设计一个检准率高，误检率低 的基于行为的主机入侵防御系统模型。本课题的要达到的目标如下：h i p s 在对付病毒 的方法上比杀毒软件更为积极、主动，真正的做到“未雨绸缪”。但是目前大多数h i p s 依靠访问控制的规则对运行的程序进行控制，需要依靠用户经验对病毒做出判断，智能 化程度太低，使得大多数没有经验的用户无法正确的使用h i p s 软件，从而做出错误的 判断导致病毒的运行。本模型在继承了h i p s 所有优点的同时，针对传统h i p s 的弱点， 加强了智能识别病毒的功能并改善了用户体验。与传统的h i p s 不同，本模型并没有那 些冗长的“访问规则列表”以及“黑、白名单 ，取而代之的是内置的病毒行为库。通 过对大量病毒的程序行为进行分析与研究，将程序在运行过程中发出的系统调用与正常 行为库中的进行对比来发现程序的异常行为，通过列举给出出现在训练数据中的预定风 险值，与预先给定的阈值相比较，并且当多个危险的系统调用被引用时，采取预定风险 值累计的方式来保证系统的安全性，就可以判断程序此次执行是j 下常还是异常。该项技 术对u n i x 的程序s e n d m a i l ，l p r ，f t p d 等都很有效。( 由于w i n d o w s 操作系统的 不开源性，使得多数系统服务函数是未公开文档的，系统服务函数的接口参数描述不明 确，往往需要通过猜测实验获得，系统实现难度较大。) 本文选择了程序执行时产生的 系统调用作为研究对象，并且在分析中采用了异常检测的方法，通过采用不同的j 下常行 为特征轮廓的构建方法来得到一个更好的检测效果。在系统调用的基础上对程序行为进 行分析，系统调用的变化具有很大随机性，我们知道一个程序在运行过程中往往是一部 分系统调用以不同的方式组合重复出现，发出的系统调用个数不会太多。进程行为管理 器会分析出每个被监控进程的行为并保存为一个行为序列。w i n h i p s 内置一套通过对病 毒逆向分析总结出威胁行为经验库，进程行为分析比监控访问策略更为灵活，基于行为 的检测避免了添加大量冗余的策略，是有效防御威胁的重要手段。w i n h i p s 使用一个优 化的结构保存关键的进程行为，并在最终行为发生之前对行为队列中的行为进行检查， 分析各个行为之间的相关性并判断是否对系统构成威胁。w i n h i p s 在系统服务例程中设 置监控点，记录每个进程运行的行为，并依据内置的监控策略对进程的行为进行威胁评 估，当非法进程触发相应策略时w i n h i p s 发出报警并阻断对系统服务例程的后续执行。 6 绪论 本文的组织结构 对基于w i n d o w s 平台的h i p s 系统进行了深入而全面的研究，具体结构安排为： 第一章：主机入侵防御系统( h i p s ) 概述 主要介绍了基于w i n d o w s 平台的的h i p s 的基本概念，以及与传统的杀毒软件、防 火墙的区别，接着分析了h i p s 的分层防御思想和自我保护方式，并在此基础上提出了 w i n h i p s 系统的设计思想，设计原则和设计目标。 第二章：w i n h i p s 系统的技术设计 首先介绍w i n d o w s 进程，着重描述何时一个进程是被授予特权或是危险的，接着 介绍了w i n d o w s 操作系统中系统调用的定义以及一个系统调用何时对于整个系统来说 是危险的，并且描述了系统调用机制，对系统调用的层次化结构和实现过程作了简要说 明，并在此基础上介绍了系统调用的截获方法和实现。 第三章：基于行为的异常检测框架改进 主要介绍了传统的杀毒软件工作模式，并在此基础上讲述了h i p s 的工作模式，基 于行为的改进异常检测框架的w i n h i p s 在继承了h i p s 所有优点的同时，针对传统h i p s 的弱点，加强了智能识别病毒的功能，对每个行为做出跟踪与记录，并依照内置的行为 库对己跟踪的行为进行对比，从而对病毒进行判断，无需依靠用户经验即可查杀病毒， 从而达到了简化操作，节约时间，方便用户的目的，最后对w i n h i p s 的性能进行分析 比较。 第四章：w i n h i p s 系统的实现与安全性分析 主要列出了w i n h i p s 的四个主要功能模块，并分别阐述了各个模块的功能，同时 介绍了需要实时跟踪被监控进程触发的每一个系统调用的检测方法，并对各个系统调用 进行分析判断，然后介绍了系统服务例程的拦截方法i n l i n eh o o k ，体现了本系统完全基 于行为进行判断的特点，介绍了对病毒行为进行整理和归纳基础上得出的策略管理器和 对进程行为进行综合分析得出的进程行为管理器的原理和实现。 大连交通大学丁学硕十学位论文 第一章主机入侵防御系统( h i p s ) 概述 1 1h i p s 概述 随着广大用户的日渐成熟和网络安全技术的进步，用户越来越意识到网络安全更深 一层的含义。不管是中美黑客大战还是红色代码病毒爆发，受害者很多都己经安装了防 火墙、防病毒系统乃至入侵检测系统。但是为什么经过层层防范的网络还会遭到入侵， 数目不菲的安全保障投资不能得到有效的回报? 这些传统的防御措施都是采用预先设定 好的策略对网络进行保护，防火墙的策略决定了它仅能够作为网络边界的屏障，而不能 代替整个安全系统的作用；i d s 只能被动地检测己知的攻击，而不能主动地把变化莫测的 威胁阻止在网络之外。在面对“瞬时攻击 引起的潜在代价和破坏时，商业组织只能等 待新的特征码的开发，然而时间和信息对于一个组织在与“瞬时攻击”的整体对抗中保 持不败是非常重要的。由于黑客不断地开发新的攻击，以逃避现有的安全防范体系，所 以最有效的防御系统将直接瞄准潜在的、新的攻击，找出延迟其破坏的方法，这就提出 了对主动入侵防御系统的需求。 那么，到底如何实现主动入侵防御系统呢? 考察目前所有网络系统的关键资源，最 关键的资源实际上就是驻留在主机服务器上的数据及其赖以存在的主机n 务器系统。 如果我们对这些数据进行了强制性、全面的防护，并且对其操作系统进行加固，对问题 最多的特权用户的权力进行适当的限制，就可以达到相当好的效果。这样，不管攻击者 采用什么样的攻击方法，我们的防范方式总是能够主动识别攻击者的企图，对于不合适 的访问予以拒绝。 例如，如果一个入侵者利用一个新的漏洞获取了操作系统特权用户的口令，那么下 一步他希望采用这个账户和密码对主机月艮务器上的数据进行删除和篡改。这时，如果我 们利用主动防范的方式首先限制了特权用户的权限，而且又通过访问时间、访问地点以 及访问采用的应用程序等几方面的因素加以限制，入侵者的攻击企图就很难得逞。1 3 j 同 时，防御系统会将访问记录下来，这样，采用这种主动的安全防护系统就达到了对未知 攻击方式的成功防范，为管理员处理这种新型的入侵方式争取到了宝贵的响应时间。 1 1 1h i p s 的基本概念 h i p s 通过在主机服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应 用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。c i s c o 公司的o k e n a 、n a i 公司的m c a f e ee n t e r c e p t 、冠群金辰的龙渊服务器核心防护都属于 这类产品，因此它们在防范红色代码和攻击中，起到了很好的防护作用。基于主机的入 8 第一章土机入侵防御系统( h i p s ) 概述 侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的 恶意入侵。h i p s 可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图 从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。 在技术上，由于h i p s 工作在受保护的主机服务器上，它不但能够利用特征和行为 规则检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针对w e b 页面、应用和资源的未授权的任何非法访问。h i p s 与具体的主机服务器操作系统平台 紧密相关，不同的平台需要不同的软件代理程序。 h i p s 软件以进程为核心，可以对进程所产生的行为，如运行、访问网络、访问注 册表、访问文件、注册驱动、进程注入、组件调用等进行监控，并且可以向你发送行为 报告，如果你阻止了某个异常行为，那么它将无法执行此行为。同时，h i p s 还可以通 过类似的监控手段对文件、注册表、网络等资源进行保护，防止未授权进程对其读写或 扫描。举个例子，当你在上网的时候不小心下载了一个恶意软件，而这个恶意软件在试 图进行执行、操作注册表获得下次启动入口、访问网络试图带出数据时，h i p s 软件会 根据您的策略弹出对话框询问或直接阻止这些行为，使得系统免受威胁。由于h i p s 这 种可以针对行为进行控制的特性，使得h i p s 可以防御未知恶意软件，所要做的仅仅是 判断未知应用程序的行为是否正常，在发现异常时及时阻止。因为病毒天天变种天天出 新，使得杀毒软件可能跟不上病毒的脚步，而h i p s 能解决这些问题。 1 1 2h i p s 和杀毒软件、防火墙的区别 杀毒软件：计算机病毒指的是一些具有恶意代码可能危害计算机的程序，杀毒软件 基本上应当具有以下两个基本功能：一是杀毒，即对带毒文件或病毒本身进行查杀的功 能。二是监控，一般具有文件监控，网页监控( 即监控远程8 0 8 0 8 0 等常用端口) ，邮 件监控( 即监控p o p 和s m t p 端口) 等。能够杀毒防毒的是杀毒软件，不是防火墙。 防火墙：简单的理解，防火墙是架在两个互相通信主机之间的一个屏障，对非法数 据包进行过滤。我们使用的多数个人防火墙基本具有：防止非法入侵( 防止内连) 与防 止本地非法外连的功能。基于这两点，我们可以简单理解防火墙的两个作用：一是通过 阻止非法数据包，防止黑客通过某些手段入侵；二是防止木马发生外连盗取本地机密信 息。个人防火墙没有杀木马的功能，它所做的是在中了木马之后，通过规则禁止其外连 以免丢失数据。现在有不少厂商将自己的杀软和防火墙做成一个网络防护体系，l i - , 女i ： k i s ( 卡巴斯基) n i s ( 诺顿) m i s ( 麦咖啡) 等。 h i p s ( h o s ti n t r u s i o np r e v e n ts y s t e m 主机入侵防御系统) ：所谓h i p s ，也就是现 在大家所说的系统防火墙，它有别于传统意义上的网络防火墙n i p s 大连交通大学t 学硕十学何论文 二者虽然都是防火墙，但是在功能上其实还是有很大差别的：传统的n i p s 网络防 火墙说白了就是只有在你使用网络的时候能够用上，通过特定的t c p i p 协议来限定用户 访问某一i p 地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的 情况下是没有什么用处的；而h i p s 系统防火墙就是限制诸如a 进程调用b 进程，或者 禁止更改或者添加注册表文件，它通过可定制的规则对本地的运行程序、注册表的读写 操作、以及文件读写操作进行判断并允许或禁止。打个比方说，也就是当某进程或者程 序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被h i p s 检测 到然后弹出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安 全，是，则放行允许运行，否，就不使之运行甚至终止运行，一般来说，在用户拥有足 够进程相关方面知识的情况下，装上一个h i p s 软件能非常有效的防止木马或者病毒的 偷偷运行，这样对于个人用户来说，中病毒和木马的可能性就基本上很低很低了。 1 1 3h i p s 的分层防御 针对应用层的攻击，传统的杀毒和防火墙解决方案已经不足于保护终端系统，因为 我们不能随着新的漏洞的发布同步推出相应的补丁程序。造成的结果是，许多新的入侵 防御系统安全产品进入了市场，而且都宣称是基于主机的入侵防御系统。但是，这些产 品执行入侵检测和入侵阻止的技术和机制都大不相同，而且提供的部分防护功能与现存 的杀毒和个人防火墙提供的功能相重叠。 可执行代码将存在如下三种可能的状态： a 可执行代码j 下在进入主机或者服务器系统； b 可执行代码已经驻留在主机或者服务器系统上； c 可执行代码正在主机或者服务器上运行； 这三种状态反映了h i p s 对应的三层防护功能，分别是：网络层、应用层和行为层。 目前许多进入市场的入侵防御系统技术供应商都使用了显著不同的保护方式。但是 这么多的系统保护方式都可以归纳为在这三个层次上进行，最优秀的h i p s 将运用这三 层保护方式中多种保护方案。 1 1 4h i p s 的保护方式介绍 三个层次中每一层对应的保护方案如表1 1 所示： 1 0 第一章主机入侵防御系统( h i p s ) 概述 表1 1h i p s 三层防护表 t a b l e1 1t h r e e t i e rp r o t e c t i o n st a b l e h i p s 的行为层防护 7 资源保护8 席瑚稃序防御 9 行为约束 h i p s 的戍刚层防护4 杀毒软什保护5 系统加同6 应刖程序检查 ? h i p s 的网络层防护 1 网络层攻击2 个人防火墙 3 网络层的漏洞检夯 下面考虑可执行代码在每一个层次上表现出来的行为： 如果在对应的层次上的行为是不良行为，那么将阻止这种行为，否则允许这种行 为的发生。 如果在对应的层次上的行为是良性行为，那么允许这种行为的发生，否则阻止这 种行为的发生。 在对应的层次上的行为是未知的。 a h i p s 的网络层防护 为了达到在恶意代码进入主机之前进行检测、阻止和移除之目的，网络层的h i p s 防护对进入主机的网络流量进行检查。正如上面表1 1 所示的那样，个人防火墙刚好位 于第二列中，通过配置良性的应用程序可以访问网络和设置防火墙规则允许它，从而提 供了从网络层对系统进行保护。网络层h i p s 的出现，提供了传统的个人防火墙所提供 不了的系统防护功能。网络层h i p s 中第一列中的保护方案通过流量的攻击签名的模式 匹配来发现恶意流量。这种保护方案执行模式检测从而过滤掉恶意的攻击流量，例如蠕 虫、端口扫描和操作系统指纹等。深度包检查产品通过连续检测多个包来对攻击行为进 行检测，通过这种方式，在将来，病毒将无处可藏。第三列中的网络层h i p s 保护方案 通过对网络流量进行检查试图发现未知的恶意代码，它不依赖于对己知的攻击签名进行 检测。在这种保护方案中，使用面向漏洞的行为过滤技术用于恶意流量检测和移除。例 如，这种保护方式不是使用攻击签名来寻找所有的s a s s e 蠕虫，而是通过检查可以导致 特定的缓冲区溢出的网络流量技术来发现s a s s e 蠕虫。通过这样一种单一的面向漏洞的 特定的网络流量过滤技术可以检测出所有的针对本地安全授权服务的已知和未知的攻 击。面向漏洞的行为过滤技术比基于已知攻击签名的攻击检测技术更复杂，也更耗费系 统资源，它需要进行深度包检查，同时需要熟悉系统中存在的漏洞。在一些情况下，通 过反汇编和一些嵌入代码的模拟来实现。 b h i p s 的应用层防护 为了在恶意代码执行之前检测、阻止和移除它，应用层的h i p s 防护方案会对主机 上的应用程序代码的特征进行检查。第一列中的应用层保护方案是传统的抗病毒解决方 案，这是一项成熟的技术，它利用签名来检测和移除己知的恶意代码。在应用程序执行 大连交通火学t 学硕十学位论文 的时候，大多数抗病毒解决方案也执行实时的内存扫描，从而在应用程序运行的时候， 提供基于应用程序己知不良行为的内存保护，这与资源防护解决方案多少有点相同。操 作系统加固解决方案基于对已知行为良好的应用程序进行配置，所有其它未经过配置的 应用程序就得不到运行的机会，还有其它的保护解决方案也提供了对操作系统的加固。 这种保护方案在针对嵌入式系统，系统功能稳定的服务器以及很少变化的系统，在阻止 用户下载未知的应用程序方面表现尤为出色。【lj 第三列提供的保