内部威胁检测技术研究.doc

1、计算机科学与技术专业毕业论文 精品论文 内部威胁检测技术研究关键词：内部威胁 异常检测技术 系统调用拦截 隐马尔可夫模型 访问控制 信息安全摘要：网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对

2、于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔

3、可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。正文内容网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁

4、不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows

5、 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多

6、不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解

7、决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁

8、这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上

9、的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。网络的

10、普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平

11、台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础

12、，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作

13、为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不

14、足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相

15、关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述

16、符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使

17、我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种

18、基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们

19、的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先

20、阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安

21、全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，

22、本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个

23、模拟的内部网络环境中，该系统能够较好地检测出内部威胁。网络的普遍使用给企业和组织带来了巨大便利，同时也给信息安全带来了前所未有的威胁。随着信息安全研究工作的深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。相比于来自因特网的威胁，来自信息系统内部的威胁有很多不同之处并且处理起来更为困难。内部威胁的危害性促使我们必须正视这个问题，并且积极地寻求应对方法。 尽管内部威胁不同于外部入侵，但是可以借鉴外部入侵检测技术及其相关原理来检测内部威胁，如异常检测。选取能正确描述程序运行状态的特征对于异常检测结果的好坏有着至关重要的意义。作为应用程序与操作系统的桥梁，系统调用能反映并可被用

24、来检测特定程序是否运行正常。然而目前针对 Windows 平台利用系统调用进行异常检测的研究并不多。 鉴于此，本文在信息系统内部威胁这一背景下，对 Windows 平台上的内部威胁检测技术进行了研究，主要工作如下： 首先阐述了内部威胁的概念和特点，介绍了内部威胁模型和内部威胁的解决方案。通过借鉴基于角色的访问控制思想，提出了一种基于角色的内部威胁检测概念模型； 然后分析了 Windows 平台上的各种系统调用拦截技术，设计了修改中断描述符表的方法来截获 Windows Native API； 针对隐马尔可夫模型评估问题的解法在实际应用中存在的不足，提出了一种基于隐马尔可夫模型的检测新方法，该方

25、法能够更有效地检测出程序异常； 最后以通用入侵检测框架为基础，设计了一个基于系统调用的内部威胁检测系统。在一个模拟的内部网络环境中，该系统能够较好地检测出内部威胁。特别提醒 ：正文内容由 PDF 文件转码生成，如您电脑未有相应转换码，则无法显示正文内容，请您下载相应软件，下载地址为 http:/ 。如还不能显示，可以联系我 q q 1627550258 ，提供原格式文档。“垐垯櫃 换烫梯葺铑?endstreamendobj2x 滌?U 閩 AZ箾 FTP 鈦X 飼?狛P? 燚?琯嫼 b?袍*甒?颙嫯?4)=r 宵?i?j 彺帖 B3 锝檡骹笪 yLrQ#?0 鯖 l 壛枒l 壛枒 l 壛枒 l

26、 壛枒 l 壛枒 l 壛枒 l 壛枒 l 壛枒 l 壛枒 l 壛枒 l 壛枒 l 壛渓?擗#?“?# 綫 G 刿#K 芿$?7. 耟?Wa 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 皗 E|?pDb 癳$Fb 癳$Fb癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$Fb 癳$F?責鯻 0 橔 C,f 薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍秾腵秾腵薍秾腵%?秾腵薍秾腵薍秾腵薍秾腵薍秾腵薍