【正文】 性和分布式結(jié)構(gòu)的魯棒性，適用于較大規(guī)模的網(wǎng)絡(luò)系統(tǒng)，如 GrIDS(Graph based Intrusion Detection System)。頂層節(jié)點(diǎn)負(fù)責(zé)整體管理和協(xié)調(diào)，并根據(jù)環(huán)境變化調(diào)整節(jié)點(diǎn)層次關(guān)系，實(shí)現(xiàn)系統(tǒng)的動(dòng)態(tài)配臵。其主要問題是會(huì)占用被檢測(cè)主機(jī)的資源；結(jié)構(gòu)復(fù)雜，實(shí)現(xiàn)困難；報(bào)警延遲大。優(yōu)點(diǎn)是針對(duì)不同的操作系統(tǒng)特點(diǎn)捕獲應(yīng)用層入侵，誤報(bào)少，缺點(diǎn)是依賴于主機(jī)及其審計(jì)子系統(tǒng)，實(shí)時(shí)性差。 DIDS則是采用上述兩種數(shù)據(jù)來源的分布式入侵檢測(cè)系統(tǒng)，它是同時(shí)分析來自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，一般為分布式結(jié)構(gòu)，由多個(gè)部件組成。 Malware是專門設(shè)計(jì)用來制造破壞或用盡目標(biāo)計(jì)算機(jī)資源的軟件，它常常隱藏在合法軟件中或偽裝成合法軟件。前者在本質(zhì)上是不能獨(dú)立于某些應(yīng)用程序、實(shí)用程序或系統(tǒng)程序而存在的程序段，后者是自含式的程序，可以通過操作系統(tǒng)來調(diào)度和運(yùn)行。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 病毒的本質(zhì) 病毒可以做其他程序能做的任何事情。隨著適用于已有病毒類型的有效反病毒措施的開發(fā)，新類型的病毒也在不斷開發(fā)?；旧纤泻瓴《径几腥綧icrosoft Word文檔，因而支持 Microsoft Word的任何硬件平臺(tái)和操作系統(tǒng)都可以被感染。 ⑵自動(dòng)宏：當(dāng)一個(gè)已定義的事件發(fā)生時(shí)，例如打開或關(guān)閉一個(gè)文檔，創(chuàng)建新文檔或退出 Word，自動(dòng)宏就執(zhí)行。如果接收者打開電子郵件附件，則這個(gè) Word宏將被激活?？梢姡乱淮膼阂廛浖梢酝ㄟ^電子郵件傳播，也可以使用電子郵件軟件特征在 Inter中復(fù)制自己。盡管預(yù)防能夠減少病毒成功攻擊的次數(shù)，但這個(gè)目標(biāo)一般來說不太可能達(dá)到。去除所有受感染的系統(tǒng)中的病毒，使感染情況不能進(jìn)一步傳播。可執(zhí)行文件運(yùn)行時(shí)首先通過一個(gè) GD掃描器進(jìn)行檢測(cè)其是否已被病毒感染， GD掃描器包含以下元素： ⑴ CPU仿真器 ⑵ 病毒署名掃描器 ⑶ 模擬控制模塊 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 數(shù)字免疫系統(tǒng) 數(shù)字免疫系統(tǒng)是 IBM公司研制的一種綜合病毒保護(hù)方法。直到 20世紀(jì) 90年代后期， Inter在病毒的傳播中還起著比較小的作用。它通過在你的電腦系統(tǒng)隱藏一個(gè)會(huì)在 Windows啟動(dòng)時(shí)悄悄運(yùn)行的程序，采用服務(wù)器 /客戶機(jī)的運(yùn)行方式，從而達(dá)到在你上網(wǎng)時(shí)控制你的電腦的目的。 1995年，兩個(gè)獨(dú)立配臵的 Windows NT Server和 Windows NT Workstation 國(guó)家計(jì)算機(jī)安全中心（ United States National Computer Security Center， NCSC）的 C2級(jí)認(rèn)證。要求在允許用戶訪問系統(tǒng)之前，輸入唯一的登錄標(biāo)識(shí)符和密碼來標(biāo)識(shí)自己。 ⑶安全審核。防止非法進(jìn)程訪問其他進(jìn)程的專用虛擬內(nèi)存。 ⑵ Kerberos 5身份驗(yàn)證協(xié)議。提供了公共網(wǎng)絡(luò)數(shù)據(jù)完整性和保密性的傳送工業(yè)標(biāo)準(zhǔn)協(xié)議。要控制誰(shuí)可以處理對(duì)象，安全系統(tǒng)就必須首先明確每個(gè)用戶的標(biāo)識(shí)。訪問令牌包括有關(guān)安全 ID（ SID），基于安全目的，它是系統(tǒng)所知道的某個(gè)用戶標(biāo)識(shí)符。 第二點(diǎn)的主要意義與訪問控制特權(quán)相關(guān)。 ⑷默認(rèn)所有者：如果該進(jìn)程創(chuàng)建了另一個(gè)對(duì)象，這個(gè)域就確定了誰(shuí)是新對(duì)象的所有者。定義一個(gè)安全描述符的類型和內(nèi)容。 ⑶系統(tǒng)訪問控制表（ SACL）。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 操作系統(tǒng)原理 Principle of Operating System 謝謝 ! 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 。 ⑷自由訪問控制表（ DACL）。該對(duì)象的所有者可以在這個(gè)安全描述符上執(zhí)行任何動(dòng)作。 圖 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 ? 安全描述符 安全描述符控制哪些用戶可對(duì)訪問對(duì)象做什么操作。 ⑵組 SID：關(guān)于該用戶屬于哪些組的列表。 訪問令牌有兩種用途： ⑴負(fù)責(zé)協(xié)調(diào)所有必需的安全信息，從而加速訪問確定。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 ? 訪問控制策略 當(dāng)用戶登錄到 Windows 2023/XP系統(tǒng)時(shí)， Windows 2023/XP使用名字 /口令方案來驗(yàn)證該用戶。 Windows 2023/XP上可以被保護(hù)的對(duì)象包括文件、設(shè)備、郵件槽、己命名的和未命名的管道、進(jìn)程、線程、事件、互斥體、信號(hào)量、可等待定時(shí)器、訪問令牌、窗口站、桌面、網(wǎng)絡(luò)共享、服務(wù)、注冊(cè)表和打印機(jī)。 ⑶基于 Secure Sockets Layer 。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 Windows 2023/XP通過它的安全性子系統(tǒng)和相關(guān)組件來達(dá)到這些需求，與 Windows NT相比較，為適應(yīng)分布式安全性的需要，Windows 2023/XP對(duì)安全性模型進(jìn)行了一些擴(kuò)展，包括： ⑴活動(dòng)目錄。運(yùn)用登錄標(biāo)識(shí)符記錄所有用戶的身份，這樣就便于跟蹤任何執(zhí)行非法操作的用戶。允許資源的所有者決定哪些用戶可以訪問資源和他們可以如何處理這些資源。這個(gè)評(píng)估與美國(guó)的 C2級(jí)評(píng)價(jià)等同。防范特洛伊木馬攻擊的一種方法是使用一個(gè)安全的、可信賴的操作系統(tǒng)。 移動(dòng)式程序系統(tǒng) ： Java和 ActiveX都允許程序自己從一個(gè)系統(tǒng)移動(dòng)到另一個(gè)系統(tǒng)。以前，病毒威脅的主要特點(diǎn)是新病毒和新的病毒變種以相對(duì)比較慢的速度傳播。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 通用解密 通用解密（ Generic Decryption， GD）技術(shù)使得既使對(duì)于最復(fù)雜的多態(tài)病毒，反病毒程序也能夠很容易地檢測(cè)，并且保持很高的掃描速度。 ⑵識(shí)別 ：當(dāng)檢測(cè)取得成功之后，要識(shí)別出感染程序的特定病毒。因此，對(duì)于這種不斷增長(zhǎng)的威脅，必須為 PC機(jī)中的 Inter實(shí)用程序和應(yīng)用軟件建立更高程度的安全級(jí)別。 1999年末出現(xiàn)了一種強(qiáng)大的電子郵件病毒版本。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 電子郵件病毒 惡意軟件的最新發(fā)展是電子郵件病毒。 ⑶ 宏病毒易于傳播，非常普遍的方法是通過郵件。事實(shí)上這種上升趨勢(shì)是由一種最新型的病毒 —— 宏病毒的繁殖所導(dǎo)致的。 典型的病毒在其生命周期中經(jīng)歷如下四個(gè)階段： 潛伏階段、 繁殖階段、引發(fā)階段、執(zhí)行階段 很多病毒完成其任務(wù)的方式是與特定的操作系統(tǒng)有關(guān)的，并且在某些情況下專門針對(duì)特定的硬件平臺(tái)，因此，設(shè)計(jì)它們時(shí)就充分利用了特定系統(tǒng)的細(xì)節(jié)和弱點(diǎn)。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 惡意程序 需要主機(jī)運(yùn)行 獨(dú)立運(yùn)行 后門 邏輯炸彈 特洛伊木馬 病毒 蠕蟲 僵尸 復(fù)制 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 ? 病毒 ? 反病毒方法 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 ? 病毒 計(jì)算機(jī)病毒從其產(chǎn)生至今，世界上病毒的數(shù)量已經(jīng)發(fā)展到近 5萬種，病毒的種類和編制技術(shù)也經(jīng)歷了幾代的發(fā)展。本節(jié)首先概述這類軟件威脅，然后講述病毒，包括病毒的本質(zhì)、分類，最后談?wù)剬?duì)策。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 入侵檢測(cè)的發(fā)展趨勢(shì) ⑴ 高效智能的檢測(cè)技術(shù) ⑵ 分布式體系結(jié)構(gòu) ⑶ IDS評(píng)估方法 ⑷ 安全技術(shù)集成 ⑸ IDS 標(biāo)準(zhǔn)化 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 第 7章 操作系統(tǒng)的安全與保護(hù) 安全 保護(hù) 入侵者 惡意軟件 實(shí)例： Windows安全機(jī)制 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 對(duì)計(jì)算機(jī)系統(tǒng)來說，最復(fù)雜的威脅是由那些利用計(jì)算機(jī)系統(tǒng)漏洞的程序帶來的。 NIDS能夠截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，提取其特征并與知識(shí)庫(kù)中已知的攻擊簽名相比較，從而達(dá)到檢測(cè)的目的。其中 HIDS的數(shù)據(jù)來源于主機(jī)系統(tǒng)，通常是系統(tǒng)日志和審計(jì)記錄。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 協(xié)同式結(jié)構(gòu)無“中心節(jié)點(diǎn)”的概念，采用多個(gè)相互平等的檢測(cè)節(jié)點(diǎn)在網(wǎng)絡(luò)中分別進(jìn)行檢測(cè)，并且協(xié)同處理大規(guī)模的入侵行為，如 CARDS（ Coordinated Attack Response and Detection System）。中層節(jié)點(diǎn)承上啟下，接受并處理下層節(jié)點(diǎn)處理后的數(shù)據(jù)，并進(jìn)行較高層次的關(guān)聯(lián)分析、判斷和結(jié)果輸出。其弱點(diǎn)是：檢測(cè)主機(jī)成為網(wǎng)絡(luò)系統(tǒng)的安全瓶頸；分布式的數(shù)據(jù)采集會(huì)造成網(wǎng)絡(luò)性能的下降，可擴(kuò)展性差；IDS配臵和功能更新困難，適應(yīng)不斷變化入侵方式的能力差；處理前的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸，存在被攻擊的危險(xiǎn)。 集中式結(jié)構(gòu)包括單機(jī)集中式和網(wǎng)絡(luò)集中式兩種。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 入侵檢測(cè)系統(tǒng) 1987年 Denning提出了一種抽象的通用入侵檢測(cè)模型，該模型主要由主體（ Subjects）、對(duì)象（ Objects）、審計(jì)記錄（ Audit Records）、行為輪廓（ Activity Profiles）、異常記錄（ Anomaly Records）和行為規(guī)則（ Activity Rules） 6部分組成。 入侵檢測(cè)技術(shù) 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 誤用檢測(cè) 也叫濫用檢測(cè)或基于知識(shí)的檢測(cè)，誤用檢測(cè)的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找到可能的“攻擊特征”集合，誤用檢測(cè)利用這些特征集合或是對(duì)應(yīng)的規(guī)則集合，對(duì)當(dāng)前的數(shù)據(jù)來源進(jìn)行各種處理后，再進(jìn)行特征匹配或規(guī)則匹配工作，如發(fā)現(xiàn)滿足條件的匹配，則指示發(fā)生了一次攻擊行為。因此，可首先建立正常的行為輪廓，當(dāng)檢測(cè)到的行為不符合預(yù)定義輪廓時(shí)，將其視為入侵。 入侵檢測(cè)的定義為：識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過程。 因此，更有效的策略是強(qiáng)迫用戶選擇不易被猜出的口令?；蛘呔哂心迟~號(hào)的用戶還可能希望得到另一個(gè)用戶的賬號(hào)去訪問特權(quán)數(shù)據(jù)或?qū)ο到y(tǒng)采取破壞活動(dòng)。再如，專用系統(tǒng)可以禁止用戶編程，這樣可以防止一些非法攻擊。而這個(gè)調(diào)用功能依據(jù)的是通過用戶終端輸入的信息，不是依靠別的程序的信息來修改存取控制表。這個(gè)安全屬性是強(qiáng)制性的規(guī)定，任何主體包括客體的擁有者也不能對(duì)其進(jìn)行修改。 蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院 操作系統(tǒng)原理 Principle of Operating System 精品課程 ⑵ 強(qiáng)制訪問控制 自主訪問控制是保證系統(tǒng)資源不被非法訪問的一種有效方法。而具有訪問許可的主體可以授予自己對(duì)許可修改的客體任何訪問模式的訪問權(quán)。這種控制有三種類型： 等級(jí)型、擁有型和自由型 。例如，某個(gè)文件的