【文章內(nèi)容簡介】 之間的通用性和互聯(lián)性將在最大程度上得到保持。 應用平等 :所有的應用之間是完全平等的。所有的應用都運行在 一個核心的引擎上面 ,這個核心引擎其實就是一個虛擬機 ,他提供了一系列用于 應用和硬件資源間通訊的。撇開這個核心引擎的所有其他的東西都是 . “應用。 應用無界限 :打破了應用之間的界限 ,比如開發(fā)人員可以把 上的數(shù)據(jù)與本地的聯(lián)系人 ,日歷 ,位置信息結合起來 ,為用戶創(chuàng)造全新的用戶體 驗。 快捷方便 :平臺為開發(fā) 人員提供了大量的使用庫和工具 ,開發(fā)人 員可以很快速的創(chuàng)建自己的應用。例如在別的手機平臺上要進行基于位置的應用 的開發(fā)是相當?shù)膹碗s ,而將 集成了進來 ,開發(fā)人員通過簡單 的幾行代碼就可以實現(xiàn)一個應用。 .入侵檢測技術概況 年的月 , .為一個保密客戶做了一份題為“計算機安全 威脅監(jiān)控與監(jiān)視’’的技術報告【 ,入侵檢測由此而生。在眾多學者不懈的研究之下 , . 經(jīng)歷了余年的發(fā)展 ,當今的入侵檢測理論已經(jīng)相對成熟。基于異常的手機系統(tǒng)入侵檢測研究 ..入侵檢測的概念 美國國家安全通信委員會在年給出的關于“入侵檢測的定義為 :入 侵 檢測是對企圖入侵、正在進行的入侵或者已經(jīng)發(fā)生的入侵進行識別的過程。簡單 的說 ,入 它通過從計算機網(wǎng)絡或 主機系統(tǒng) 全策略的行為和遭到入 系統(tǒng)應當具有以下幾個 侵的痕跡 特點 : 經(jīng)濟性 :入侵檢測系統(tǒng)意在保障系統(tǒng)安全策略的實施 ,然而其引入的前提 是不得妨礙系統(tǒng)的正常運行。 時效性 :入侵檢測系統(tǒng)期望在事前發(fā)現(xiàn)攻擊企圖 ,實際中往往是在攻擊行 為的發(fā)生過程中檢測到的。入侵檢測必須具有時效性。如果在系統(tǒng)被入侵之后才 發(fā)現(xiàn)有攻擊行為 ,意味著系統(tǒng)已經(jīng)被控制或者面臨著后續(xù)攻擊的可能性 ,入侵檢 測已經(jīng)沒有意義。 安全性 :無 法保障入侵檢測系統(tǒng)自身的安全性就意味著檢測信息無效 ,而 更嚴重的威脅是入侵者可能已經(jīng)控制了入侵檢測系統(tǒng)即獲得了系統(tǒng)的控制權 ,因 為一般情況下入侵檢測系統(tǒng)都是以特權狀態(tài)運行的。 可擴展性 ?？蓴U展性存在于兩個方面 ,一種體現(xiàn)于機制與數(shù)據(jù)的分離 ,它 要求現(xiàn)有機質(zhì)不變的前提下能夠檢測新的攻擊 。另一種體現(xiàn)于整個系統(tǒng)的體系結 構 ,它要求在不對系統(tǒng)的結構進行修改的前提下能夠?qū)z測手段進行調(diào)整 ,以此 來保證能夠檢測新的攻擊。 ..通用入侵檢測模型 在眾多學者的不斷努力下 ,入侵檢測技術在短短的年間有著飛速的發(fā)展 , 并逐步走向了 智能化與分布式化。然而 ,無論是哪種入侵檢測系統(tǒng) ,都必須含有 數(shù)據(jù)提取 ,數(shù)據(jù)分析 ,結果處理這三個過程。圖 .給出了通用入侵檢測系統(tǒng)的框 架圖。第章智能手機及入侵檢測技術概況 數(shù) 數(shù) 結 據(jù) 據(jù) 果 處 提 分 理 取 析 玲 砂 圖 .通用入侵檢測系統(tǒng)框架圖 .. 數(shù)據(jù)提取模塊將完成為系統(tǒng)提供數(shù)據(jù)的任務 ,而這些數(shù)據(jù)數(shù)可以是主機上的 日志信息、變動信息 ,也可以是網(wǎng)絡上的數(shù)據(jù)信息 ,甚至是流量變化等。數(shù)據(jù)提 取模塊在獲得數(shù)據(jù)之后會對數(shù)據(jù)進行一系列的處理 ,如簡單的過濾、數(shù)據(jù)格式的 標準化等 ,之后會將其處理結果提交給數(shù)據(jù)分 析模塊。 數(shù)據(jù)分析模塊將對數(shù)據(jù)進行詳細地分析 ,發(fā)現(xiàn)攻擊并根據(jù)分析的結果產(chǎn)生事 件 ,并將其分析結果傳遞給處理模塊。數(shù)據(jù)分析的方式多種多樣 ,可以簡單到對 某種行為的計數(shù)如一定時間內(nèi)某個特定用戶登錄失敗的次數(shù) ,或者某種特定類 型報文的出現(xiàn)次數(shù) ,也可以是一個復雜的專家系統(tǒng)。該模塊是一個入侵檢測系統(tǒng) 的核心。 結果處理模塊的作用在于告警與反應 ,即將告警信息反饋給管理員或者用戶 , 并針對入侵與否采取進一步措施。 入侵檢測系統(tǒng)模型比較多 ,比較有代表性的是 ..和 提出的實時入侵檢測系統(tǒng)通用框架。該模型由六個部分組成 ,分別是 主體、 則、輪廓特征、審計記錄和異常記錄。正是由于該模型框架與 境、系統(tǒng)脆弱性以及入侵類型無關 ,使之成為了較為通用的入 .為該模型的框架圖?；诋惓５氖謾C系統(tǒng)入侵檢測研究 圖 . 框架圖 .. 入侵行為具有廣泛和復雜的特點 ,依靠某個單一的檢測出所有的入侵行 為并不現(xiàn)實 ,所以就需要一個和其他的合作進行檢測。為了盡可能減少系統(tǒng)之間的耦合 ,在入侵檢測的標準化工作方面 , 做出了巨大的貢獻。其中最為關鍵的就是提出了一種通用的入侵檢測系 統(tǒng)。圖 .是的框架圖。 在第章智能手機及入侵檢測技術概況 事件分析器、響應單元、事件數(shù)據(jù) 庫。模塊之間交換的數(shù)據(jù)被抽象為。 事件產(chǎn)生器首先會從環(huán)境中抽取感興趣的信息 ,然后把這些信息按照一定格 式進行轉(zhuǎn)化 ,目的是為了方便系統(tǒng)的其它部件使用 。事件分析器依據(jù)時間標簽對 信息進行處理 ,它將完成真正意義上的入侵檢測 ,之后會將結果以的形式進 行封裝 ,這里我們可以將它看做是輸入時間的總結或綜合 。事件數(shù)據(jù)庫一方面保 存時間記錄 ,一方面被用來持久保存所有需要保存的對象。響應單元功能要 簡單些 ,它只包括按照輸入的進行響應的反擊行為。 ..入侵檢測的分類學方法 為了進一步對入侵檢測的方法進行研究 ,我們將從不同的著眼點對入侵檢測 的方法進行分類。圖 .給出了常見的入侵檢測系統(tǒng)的分類。 圖 .入侵檢測分類圖 .. 按照數(shù)據(jù)來源的不同 ,可以將入侵檢測系統(tǒng)分為類 : 基于主機 :系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機 ,保護的目標也是 系統(tǒng)運行所在的主機。 基于網(wǎng)絡 :系統(tǒng)獲取的數(shù)據(jù)來源是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包 ,保護的目標是網(wǎng)絡 的運行。 混合型 :混合型就是既基于主機又基于網(wǎng)絡 ,因此混合型一般也是分布式 的。 根據(jù)數(shù)據(jù)分析方法的不同 ,可以將入侵檢測系統(tǒng)分為兩類 : 該模型首先總結正常操作應 該具有的特征 ,例如特定用戶基于異常的手機系統(tǒng)入侵檢測研究 的操作習慣于某些操作的頻率等 。在得出正常操作的模型之后 ,對后續(xù)的操作進 行監(jiān)視 ,一旦發(fā)現(xiàn)偏離正常統(tǒng)計學意義上的操作模式 ,即進行報警。這種模型建 立的系統(tǒng)需要具有一定的人工智能。由于人工智能領域本身的發(fā)展緩慢 ,基于異 常檢測模型建立入侵檢測系統(tǒng)的工作進展也不是很好。 誤用檢測模型 :“誤用”一詞在這里可理解為不正確的使用。這種模型的 特點是收集非正常操作也就是入侵行為的特征 ,建立相關的特征庫 。在后續(xù)的檢 測過程中 ,將收集到的數(shù)據(jù)與特征庫中的特征代碼進行比 較 ,得出是否存在入侵 的結論?？梢钥闯?,這種模型與非主流的病毒檢測方式基本一致。當前流行的系 統(tǒng)基本采用了這個模型。 按照數(shù)據(jù)分析發(fā)生的時間不同 ,可以分為 : 脫機分析 :就是在行為發(fā)生后 ,對產(chǎn)生的數(shù)據(jù)進行分析 ,而不是在行為發(fā) 生的同時進行分析。如對日志的審核 ,對系統(tǒng)文件的完整性檢查等都屬于這種。 一般而言 ,多級分析也不會間隔很長時間 ,所謂的脫機是與聯(lián)機相對而言的。 聯(lián)機分析 :就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同事對其進行檢查 ,以發(fā)現(xiàn)攻 擊行為。這種方式一般用對網(wǎng)絡數(shù)據(jù)的實時分析 ,對系統(tǒng)資源要求比較高。 按照系統(tǒng)各個 模塊運行的分布方式不同 ,可以分為 : 集中式 :系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應模塊都集中在一 臺主機上運行 ,這種方式適用于網(wǎng)絡環(huán)境比較簡單的情況。 分布式 :系統(tǒng)的各個模塊分布在網(wǎng)絡中不同的計算機、設備上 ,一般來說 分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上 ,例如游戲系統(tǒng)引入的傳感器 ,如果網(wǎng)絡環(huán)境 比較復雜、數(shù)據(jù)量比較大 ,那份數(shù)據(jù)分析模塊也會分布 ,一般是按照層次性的原 則進行組織 ,例如的結構。 ..基于異常的入侵檢測系統(tǒng) 基于異常的入侵檢測系統(tǒng)的方法源于這樣的思想 :正常行為都體現(xiàn)出一定的 規(guī)律性 ,通過分析這些行為 的日志信息就可以總結出這些規(guī)律 ,而入侵和濫用行 為則通常和正常的行為存在嚴重的差異 ,通過檢查出這些差異就可以檢測出入侵。 這樣 ,就能夠有效的對非法的入侵行為進行檢測。此外不屬于入侵的異常用戶行 為也能被檢測到。第章智能手機及入侵檢測技術概況 為了完成上述的檢測 ,系統(tǒng)通?？紤]下述幾個問題 : 用戶的行為有一定的規(guī)律性 ,如何選擇數(shù)據(jù)來表現(xiàn)用戶的這些有規(guī)律的行 為。這些數(shù)據(jù)必須能夠反映用戶的行為 ,而且能夠容易地獲取和處理。 通過上面的數(shù)據(jù) ,如何有效的表示用戶的正常行為 ,使用何種方法和數(shù) 據(jù)反映出用戶正常行為的概貌 ,使用何種方法學習用戶的新行為對于整個系統(tǒng) 來說都很關鍵。而且 ,這種入侵檢測系統(tǒng)通常運行在用戶的機器上對用戶行為進 行實時監(jiān)控 ,因此所有使用的方法必須具有一定的時效性。一般來說 ,基于異常 的入侵檢測系統(tǒng)的主要區(qū)別就在于學習和檢測方法的不同。 另外也要考慮到學習過程的時間長短、用戶行為的時效性等問題。 正如前面所介紹的 ,一個通用的入侵檢測系統(tǒng)是由數(shù)據(jù)提取模塊 ,數(shù)據(jù)分析 模塊和結果處理模塊組成 ,下面就針對這三個部分進行進一步的討論。 通?；诋惓５娜肭謾z測系統(tǒng)的檢測是針對某個特性的對象 ,這個對象可以 是某個程序。 監(jiān)視對象的行為 ,學習這個對象的行為特征 ,以便產(chǎn)生這個對象的 行為概貌 ,并通過監(jiān)視對比學習到的行為概貌檢測出這個對象的異常行為 ,產(chǎn)生 警告并作出相應的反應。其中的監(jiān)視行為是數(shù)據(jù)提取模塊需要做的工作。此外 , 根據(jù)其后的檢測過程 ,本模塊還把原始數(shù)據(jù)格式化成為特定格式的數(shù)據(jù) ,以便分