提高防御APT攻擊性能的入侵檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、隨著信息技術(shù)與網(wǎng)絡(luò)的不斷發(fā)展，各行各業(yè)均已實現(xiàn)了數(shù)字化、網(wǎng)絡(luò)化、智能化、一體化，網(wǎng)絡(luò)安全也受到了大家的高度關(guān)注，網(wǎng)絡(luò)安全不僅是各個網(wǎng)絡(luò)系統(tǒng)可靠運行的保障，更關(guān)乎著系統(tǒng)數(shù)據(jù)的安全，隨著中國鐵路的不斷發(fā)展進步，中國列車運行控制系統(tǒng)(Chinese Train Control System，CTCS)也逐步實現(xiàn)了數(shù)字化、一體化的列車運行網(wǎng)絡(luò)系統(tǒng)。CTCS的網(wǎng)絡(luò)安全一直受到人們的高度關(guān)注，其網(wǎng)絡(luò)安全不僅是保證鐵路運行的效率和經(jīng)濟的保證，更關(guān)乎人

2、們出行的安全。近幾年來，高級持續(xù)性威脅(Advanced Persistent Threat，APT)引起了國際、國內(nèi)的重視，APT是組織或個人以竊取信息，或者對網(wǎng)絡(luò)系統(tǒng)進行破壞為目的，運用各種方式，對日標(biāo)系統(tǒng)進行入侵或攻擊的行為。如2010年APT運用震網(wǎng)(Stuxnet)病毒，專門定向攻擊真實世界中基礎(chǔ)（能源）設(shè)施，比如核電站，水壩，國家電網(wǎng)等。這種對特定目標(biāo)進行長期、持續(xù)性、定向的網(wǎng)絡(luò)攻擊的形式對工業(yè)控制網(wǎng)絡(luò)具有很大威脅。因此，為

3、了有效的防御APT攻擊，研究針對APT攻擊的特點的入侵檢測系統(tǒng)具有重要意義。
　　本文首先對APT及入侵檢測系統(tǒng)的特點和現(xiàn)狀進行了分析。針對傳統(tǒng)入侵檢測系統(tǒng)監(jiān)控用戶模式的系統(tǒng)API函數(shù)容易被惡意代碼發(fā)現(xiàn)并進行隱藏，對0day漏洞防范不足的情況，確定了基用內(nèi)核調(diào)用監(jiān)控的系統(tǒng)實現(xiàn)方案。本文使用內(nèi)核級的API Hook技術(shù)，在系統(tǒng)，進程，文件、注冊表、驅(qū)動和網(wǎng)絡(luò)監(jiān)控等方面對內(nèi)核態(tài)的API函數(shù)調(diào)用進行監(jiān)控和攔截，這樣對系統(tǒng)的監(jiān)控更加底層，