学位论文 > 优秀研究生学位论文题录展示
安全审计与基于审计的入侵检测
作 者: 张相锋
导 师: 孙玉芳
学 校: 中国科学院研究生院(软件研究所)
专 业: 计算机软件与理论
关键词: 安全操作系统 CC标准 GB17859 安全审计 入侵检测 事件序列 系统调用划分
分类号: TP393.08
类 型: 博士论文
年 份: 2004年
下 载: 756次
引 用: 13次
阅 读: 论文下载
内容摘要
|
本文以国家自然科学基金项目和国家863项目等支持的安全操作系统RFSOS的开发实践方基础,对安全操作系统中安全审计子系统的设计、实现进行了深入的研究,并在此基础上提出一种基于审计数据的高效的入侵检测技术。RFSOS系统参照CC国际标准设计,并且已经通过中国公安部计算机信息系统安全产品的险测,达到了我国《计算机信息系统安全保护等级划分准则》(GB17859)第三级的要求,现已在国家安全局等重要部门得到实际应用。本文的研究成果主要体现在以下几个方面: (一) 分析/对比历史上有代表性的几个信息系统安全标准(CC、TCSEC、GB17859等)对于安全审计的要求,结合所实施的安全机制考察典型操作系统(包括Digital UNIX、AIX、Trusted Solaris、Windows 2000、Linux)中的审计实现并对其进行总结、比较; (二) 提出安全访问控制机制在具体操作系统中实施时遇到的问题,并以完整性访问控制机制为例,结合RFSOS系统的特点和设计要求,提出其在RFSOS系统中的动态实施方案,以提高系统的兼容性,同时给出新访问控制规则的描述和详细的证明; (三) 结合RFSOS安全操作系统中实施的各种安全机制,设计并实现符合CC国际安全标准要求的除自动入侵响应外的所有功能但能够完全覆盖GB17859第三级“安全标记保护级”相应要求的审计子系统; (四) 在RFSOS系统的审计子系统基础上定义了广义系统调用的概念,从而将基于系统调用序列和基于审计事件序列这两类入侵检测技术统一起来,并根据广义系统调用的性质及其在应用程序和整个系统的功能实现中的作用效果对其进行划分; (五) 在对广义系统调用进行划分的基础上,提出一种高效的入侵检测技术(称为W检测),并通过实验证明了其良好的性能和较强的检测能力,同时给出该检测技术在实际应用中的系统结构框架。 总之,本文根据相关的信息安全标准,针对从审计子系统的设计、实现,一直到基于审计数据进行入侵检测这个全过程进行了细致的研究,其成果可以为安全操作系统的设计和入侵检测技术的探索等有关信息安全的研究工作提供一定的经验,为设计安全性更好的操作系统奠定了基础。
|
全文目录
资金资助 4-6
摘要 6-8
Abstract 8-10
目录 10-14
图目录 14-16
表目录 16-18
第1章 引言 18-30
1.1 信息系统安全形势 18-19
1.2 信息系统的安全目标 19-20
1.3 信息系统安全评价标准 20-23
1.4 安全访问控制机制 23-24
1.5 审计与入侵检测 24-25
1.6 本文的研究背景 25-26
1.7 论文的主要工作 26-27
1.8 论文的组织结构 27-30
第2章 审计机制概述 30-40
2.1 审计机制的提出 30-31
2.2 安全标准中关于审计的要求 31-35
2.2.1 TCSEC对于审计子系统的要求 31-32
2.2.2 CC标准中的安全审计功能需求 32-34
2.2.3 我国国标对安全审计的要求 34-35
2.3 审计子系统的相关术语 35-38
2.4 小结 38-40
第3章 典型操作系统中的审计 40-54
3.1 DEC的Digital UNIX 40-41
3.2 IBM的AIX 41-42
3.3 SUN的Trusted Solaris 42-45
3.4 Microsoft的Windows 2000 Professional (Win2K) 45-46
3.5 Linux系统中的日志机制(syslog) 46-48
3.6 各个系统中审计子系统的比较 48-51
3.7 审计与日志的比较 51-53
3.8 小结 53-54
第4章 RFSOS系统中的安全机制 54-72
4.1 传统Linux系统安全的缺陷 54-55
4.2 RFSOS系统实施的安全机制 55-58
4.2.1 访问控制列表(ACL) 56
4.2.2 保密性强制访问控制(C-MAC) 56
4.2.3 完整性强制访问控制(I-MAC) 56
4.2.4 角色访问控制机制(RAC) 56-57
4.2.5 安全审计 57
4.2.6 文件加密(CFS) 57-58
4.2.7 受限模块加载机制(RLKM) 58
4.3 RFSOS系统中安全子系统的结构框架 58-60
4.4 安全访问控制机制在Linux操作系统中的实现问题 60-70
4.4.1 严格完整性政策 60-61
4.4.2 严格完整性政策的动态实施(DESIP) 61-64
4.4.3 DESIP的访问控制规则的证明 64-69
4.4.4 DESIP的优缺点 69-70
4.5 小结 70-72
第5章 RFSOS中审计子系统的设计与实现 72-102
5.1 审计子系统的结构 72-73
5.2 审计子系统中的主、客体及其标识方法 73-74
5.3 审计事件的分类 74
5.4 审计事件集合与审计事件的表示 74-75
5.5 审计事件的预选和后选 75-77
5.6 审计事件的分级 77-78
5.7 审计记录的格式和内容 78-80
5.8 审计数据的收集、存储 80-82
5.9 审计踪迹的安全保护 82-83
5.10 核心审计进程的实现 83-85
5.11 向缓冲区投放审计记录 85-88
5.12 审计数据的查看、分析和自动响应 88-91
5.13 审计对系统性能的影响 91-93
5.14 审计子系统与用户的接口 93-100
5.14.1 RFSOS审计子系统提供的系统调用 94
5.14.2 命令行的审计管理工具au_sys_cfg 94-96
5.14.3 命令行的审计踪迹浏览工具au_browse 96-97
5.14.4 RFSOS审计子系统提供的X界面管理工具auditx 97-100
5.15 小结 100-102
第6章 基于系统调用子集的入侵检测 102-132
6.1 入侵检测系统 102-104
6.2 入侵检测技术 104-106
6.3 基于系统调用序列的入侵检测技术 106-108
6.4 系统调用的划分 108-110
6.5 广义系统调用 110-111
6.6 相关术语 111-112
6.7 两种系统调用序列的比较 112
6.8 实验环境和入侵检测过程 112-114
6.9 特征学习 114-115
6.10 入侵检测指标 115-119
6.11 检测结果的分析 119-129
6.11.1 特征库的建立 119-120
6.11.2 不同应用程序的区分 120-121
6.11.3 d4距离与特征序列长度的关系 121-122
6.11.4 对典型入侵的检测 122-125
6.11.5 入侵检测的误报率 125-127
6.11.6 两种检测方法的比较 127-128
6.11.7 关于W检测的讨论 128-129
6.12 小结 129-132
第7章 结束语 132-134
7.1 论文总结 132-133
7.2 下一步工作 133-134
参考文献 134-146
致谢 146-148
作者攻读博士学位期间发表的学术论文 148
|
相似论文
- 基于行为可信的无线传感器网络入侵检测技术的研究,TP212.9
- 基于关联规则挖掘的入侵检测系统的研究与实现,TP393.08
- 基于机器学习的入侵检测系统研究,TP393.08
- 移动AdHoc网网的入侵检检:基于时时有限状状自动机方法,TN929.5
- 高速网络环境下的入侵检测系统的研究,TP393.08
- 无线传感器网络安全问题的研究,TN915.08
- 正交权函数神经网络灵敏度研究及其应用,TP183
- 使用层次聚类和N-gram模型的新闻热事件检测研究,TP311.13
- Linux下基于神经网络的智能入侵检测系统研究,TP393.08
- 基于Petri网的网络入侵检测系统研究与实现,TP393.08
- 基于FSVM的数据挖掘方法及其在入侵检测中的应用研究,TP393.08
- 并行与分布入侵检测技术研究,TP393.08
- 基于粗糙集属性约简和加权SVM的入侵检测方法研究,TP393.08
- 数据中心数据安全审计研究,TP311.13
- 基于防火墙和入侵检测的综合主机安全防范系统,TP393.08
- 聚类技术在网络入侵检测中的研究与应用,TP393.08
- 层次化的分布式入侵检测系统研究,TP393.08
- 基于生物不确定性记忆的入侵检测模型研究,TP393.08
- 基于LS-SVM的入侵检测,TP393.08
- IPv6环境下蜜罐系统的研究与应用,TP393.08
- 基于网络连接特征的DDoS检测系统的研究与实现,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|