Solaris的进程权限管理策略分析

传统的Solaris安全模型中对进程的管理沿袭了Unix系统的超级用户模型,事实证明,这种管理方式给进程分配了许多不必要的权限,正是这些多余的权限很容易给系统带来危险,甚至使得整个系统崩溃。引入了最小特权原则的Solaris进程特权模型限制了超级用户的权限,实现了仅基于进程有效特权的增强型安全策略,大大提高了系统的安全性。

基于系统调用序列的柔性状态机入侵检测模型

以系统运行过程中出现的系统调用序列为依据 ,建立了一种柔性状态机模型 ,用以判断入侵行为 .此模型既准确描述系统行为 ,又表现系统随机性特征 .此模型可以快速生成一个检测实例 。

基于K-Nearest Neighbor分类算法的异常检测模型

入侵检测成了信息安全中不可缺少的安全措施 ,而异常检测是入侵检测研究中的热点 .提出了一种新的异常检测算法 ,用 K- Nearest Neighbor分类算法对特权程序 (或进程 )的系统调用进行分析 ,通过计算系统调用出现的频度判断进程是否异常 .测试表明 ,该方法具有良好的检测性能和较低的误报率 ,占用的系统资源较少 。

Windows下基于主机的访问控制研究与实现

针对目前的主机安全现状,提出了一种称之为WHIPS(Windows下的主机入侵防御系统)的主机访问控制系统,它能够对操作系统安全起至关重要作用的系统调用进行控制。WHIPS是作为一个内核驱动而实现的,也称之为内核模块,它完全使用的是Windows内核的未文档化结构,不要求对内核数据结构和算法进行修改。WHIPS对应用程序进程是完全透明的,应用程序进程的源代码不用进行任何修改和重新进行编译就可以继续正确工作。

基于系统调用的入侵检测方法研究

系统调用是操作系统和用户程序的接口 ,任何程序都必须通过系统调用才能执行 ,针对系统调用进行入侵检测的实施 ,能增加入侵检测的准确性和正确性 ,并使实时监测和分层安全成为可能。本文分析了在系统调用层面上实现入侵检测的可能性和优越性 ,详细阐明了目前各种基于系统调用入侵检测的方法和性能比较 ,讨论了基于系统调用入侵检测研究的发展趋势。

一种基于均值Hamming距离的异常入侵检测方法

对进程级的入侵检测技术进行了研究,提出了一种基于均值Hamming距离的异常入侵检测方法—AHDAD,监控对象为特权进程的系统调用序列,通过计算偏离量检测入侵。AHDAD算法简单、检测准确率高、时间开销小,使实时入侵检测成为可能。最后,用原型实验证实了方法的可行性。