【文章內(nèi)容簡(jiǎn)介】 之間的通用性和互聯(lián)性將在最大程度上得到保持。 應(yīng)用平等 :所有的應(yīng)用之間是完全平等的。所有的應(yīng)用都運(yùn)行在 一個(gè)核心的引擎上面 ,這個(gè)核心引擎其實(shí)就是一個(gè)虛擬機(jī) ,他提供了一系列用于 應(yīng)用和硬件資源間通訊的。撇開這個(gè)核心引擎的所有其他的東西都是 . “應(yīng)用。 應(yīng)用無界限 :打破了應(yīng)用之間的界限 ,比如開發(fā)人員可以把 上的數(shù)據(jù)與本地的聯(lián)系人 ,日歷 ,位置信息結(jié)合起來 ,為用戶創(chuàng)造全新的用戶體 驗(yàn)。 快捷方便 :平臺(tái)為開發(fā) 人員提供了大量的使用庫和工具 ,開發(fā)人 員可以很快速的創(chuàng)建自己的應(yīng)用。例如在別的手機(jī)平臺(tái)上要進(jìn)行基于位置的應(yīng)用 的開發(fā)是相當(dāng)?shù)膹?fù)雜 ,而將 集成了進(jìn)來 ,開發(fā)人員通過簡(jiǎn)單 的幾行代碼就可以實(shí)現(xiàn)一個(gè)應(yīng)用。 .入侵檢測(cè)技術(shù)概況 年的月 , .為一個(gè)保密客戶做了一份題為“計(jì)算機(jī)安全 威脅監(jiān)控與監(jiān)視’’的技術(shù)報(bào)告【 ,入侵檢測(cè)由此而生。在眾多學(xué)者不懈的研究之下 , . 經(jīng)歷了余年的發(fā)展 ,當(dāng)今的入侵檢測(cè)理論已經(jīng)相對(duì)成熟?；诋惓５氖謾C(jī)系統(tǒng)入侵檢測(cè)研究 ..入侵檢測(cè)的概念 美國國家安全通信委員會(huì)在年給出的關(guān)于“入侵檢測(cè)的定義為 :入 侵 檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。簡(jiǎn)單 的說 ,入 它通過從計(jì)算機(jī)網(wǎng)絡(luò)或 主機(jī)系統(tǒng) 全策略的行為和遭到入 系統(tǒng)應(yīng)當(dāng)具有以下幾個(gè) 侵的痕跡 特點(diǎn) : 經(jīng)濟(jì)性 :入侵檢測(cè)系統(tǒng)意在保障系統(tǒng)安全策略的實(shí)施 ,然而其引入的前提 是不得妨礙系統(tǒng)的正常運(yùn)行。 時(shí)效性 :入侵檢測(cè)系統(tǒng)期望在事前發(fā)現(xiàn)攻擊企圖 ,實(shí)際中往往是在攻擊行 為的發(fā)生過程中檢測(cè)到的。入侵檢測(cè)必須具有時(shí)效性。如果在系統(tǒng)被入侵之后才 發(fā)現(xiàn)有攻擊行為 ,意味著系統(tǒng)已經(jīng)被控制或者面臨著后續(xù)攻擊的可能性 ,入侵檢 測(cè)已經(jīng)沒有意義。 安全性 :無 法保障入侵檢測(cè)系統(tǒng)自身的安全性就意味著檢測(cè)信息無效 ,而 更嚴(yán)重的威脅是入侵者可能已經(jīng)控制了入侵檢測(cè)系統(tǒng)即獲得了系統(tǒng)的控制權(quán) ,因 為一般情況下入侵檢測(cè)系統(tǒng)都是以特權(quán)狀態(tài)運(yùn)行的。 可擴(kuò)展性 。可擴(kuò)展性存在于兩個(gè)方面 ,一種體現(xiàn)于機(jī)制與數(shù)據(jù)的分離 ,它 要求現(xiàn)有機(jī)質(zhì)不變的前提下能夠檢測(cè)新的攻擊 。另一種體現(xiàn)于整個(gè)系統(tǒng)的體系結(jié) 構(gòu) ,它要求在不對(duì)系統(tǒng)的結(jié)構(gòu)進(jìn)行修改的前提下能夠?qū)z測(cè)手段進(jìn)行調(diào)整 ,以此 來保證能夠檢測(cè)新的攻擊。 ..通用入侵檢測(cè)模型 在眾多學(xué)者的不斷努力下 ,入侵檢測(cè)技術(shù)在短短的年間有著飛速的發(fā)展 , 并逐步走向了 智能化與分布式化。然而 ,無論是哪種入侵檢測(cè)系統(tǒng) ,都必須含有 數(shù)據(jù)提取 ,數(shù)據(jù)分析 ,結(jié)果處理這三個(gè)過程。圖 .給出了通用入侵檢測(cè)系統(tǒng)的框 架圖。第章智能手機(jī)及入侵檢測(cè)技術(shù)概況 數(shù) 數(shù) 結(jié) 據(jù) 據(jù) 果 處 提 分 理 取 析 玲 砂 圖 .通用入侵檢測(cè)系統(tǒng)框架圖 .. 數(shù)據(jù)提取模塊將完成為系統(tǒng)提供數(shù)據(jù)的任務(wù) ,而這些數(shù)據(jù)數(shù)可以是主機(jī)上的 日志信息、變動(dòng)信息 ,也可以是網(wǎng)絡(luò)上的數(shù)據(jù)信息 ,甚至是流量變化等。數(shù)據(jù)提 取模塊在獲得數(shù)據(jù)之后會(huì)對(duì)數(shù)據(jù)進(jìn)行一系列的處理 ,如簡(jiǎn)單的過濾、數(shù)據(jù)格式的 標(biāo)準(zhǔn)化等 ,之后會(huì)將其處理結(jié)果提交給數(shù)據(jù)分 析模塊。 數(shù)據(jù)分析模塊將對(duì)數(shù)據(jù)進(jìn)行詳細(xì)地分析 ,發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事 件 ,并將其分析結(jié)果傳遞給處理模塊。數(shù)據(jù)分析的方式多種多樣 ,可以簡(jiǎn)單到對(duì) 某種行為的計(jì)數(shù)如一定時(shí)間內(nèi)某個(gè)特定用戶登錄失敗的次數(shù) ,或者某種特定類 型報(bào)文的出現(xiàn)次數(shù) ,也可以是一個(gè)復(fù)雜的專家系統(tǒng)。該模塊是一個(gè)入侵檢測(cè)系統(tǒng) 的核心。 結(jié)果處理模塊的作用在于告警與反應(yīng) ,即將告警信息反饋給管理員或者用戶 , 并針對(duì)入侵與否采取進(jìn)一步措施。 入侵檢測(cè)系統(tǒng)模型比較多 ,比較有代表性的是 ..和 提出的實(shí)時(shí)入侵檢測(cè)系統(tǒng)通用框架。該模型由六個(gè)部分組成 ,分別是 主體、 則、輪廓特征、審計(jì)記錄和異常記錄。正是由于該模型框架與 境、系統(tǒng)脆弱性以及入侵類型無關(guān) ,使之成為了較為通用的入 .為該模型的框架圖。基于異常的手機(jī)系統(tǒng)入侵檢測(cè)研究 圖 . 框架圖 .. 入侵行為具有廣泛和復(fù)雜的特點(diǎn) ,依靠某個(gè)單一的檢測(cè)出所有的入侵行 為并不現(xiàn)實(shí) ,所以就需要一個(gè)和其他的合作進(jìn)行檢測(cè)。為了盡可能減少系統(tǒng)之間的耦合 ,在入侵檢測(cè)的標(biāo)準(zhǔn)化工作方面 , 做出了巨大的貢獻(xiàn)。其中最為關(guān)鍵的就是提出了一種通用的入侵檢測(cè)系 統(tǒng)。圖 .是的框架圖。 在第章智能手機(jī)及入侵檢測(cè)技術(shù)概況 事件分析器、響應(yīng)單元、事件數(shù)據(jù) 庫。模塊之間交換的數(shù)據(jù)被抽象為。 事件產(chǎn)生器首先會(huì)從環(huán)境中抽取感興趣的信息 ,然后把這些信息按照一定格 式進(jìn)行轉(zhuǎn)化 ,目的是為了方便系統(tǒng)的其它部件使用 。事件分析器依據(jù)時(shí)間標(biāo)簽對(duì) 信息進(jìn)行處理 ,它將完成真正意義上的入侵檢測(cè) ,之后會(huì)將結(jié)果以的形式進(jìn) 行封裝 ,這里我們可以將它看做是輸入時(shí)間的總結(jié)或綜合 。事件數(shù)據(jù)庫一方面保 存時(shí)間記錄 ,一方面被用來持久保存所有需要保存的對(duì)象。響應(yīng)單元功能要 簡(jiǎn)單些 ,它只包括按照輸入的進(jìn)行響應(yīng)的反擊行為。 ..入侵檢測(cè)的分類學(xué)方法 為了進(jìn)一步對(duì)入侵檢測(cè)的方法進(jìn)行研究 ,我們將從不同的著眼點(diǎn)對(duì)入侵檢測(cè) 的方法進(jìn)行分類。圖 .給出了常見的入侵檢測(cè)系統(tǒng)的分類。 圖 .入侵檢測(cè)分類圖 .. 按照數(shù)據(jù)來源的不同 ,可以將入侵檢測(cè)系統(tǒng)分為類 : 基于主機(jī) :系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī) ,保護(hù)的目標(biāo)也是 系統(tǒng)運(yùn)行所在的主機(jī)。 基于網(wǎng)絡(luò) :系統(tǒng)獲取的數(shù)據(jù)來源是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包 ,保護(hù)的目標(biāo)是網(wǎng)絡(luò) 的運(yùn)行。 混合型 :混合型就是既基于主機(jī)又基于網(wǎng)絡(luò) ,因此混合型一般也是分布式 的。 根據(jù)數(shù)據(jù)分析方法的不同 ,可以將入侵檢測(cè)系統(tǒng)分為兩類 : 該模型首先總結(jié)正常操作應(yīng) 該具有的特征 ,例如特定用戶基于異常的手機(jī)系統(tǒng)入侵檢測(cè)研究 的操作習(xí)慣于某些操作的頻率等 。在得出正常操作的模型之后 ,對(duì)后續(xù)的操作進(jìn) 行監(jiān)視 ,一旦發(fā)現(xiàn)偏離正常統(tǒng)計(jì)學(xué)意義上的操作模式 ,即進(jìn)行報(bào)警。這種模型建 立的系統(tǒng)需要具有一定的人工智能。由于人工智能領(lǐng)域本身的發(fā)展緩慢 ,基于異 常檢測(cè)模型建立入侵檢測(cè)系統(tǒng)的工作進(jìn)展也不是很好。 誤用檢測(cè)模型 :“誤用”一詞在這里可理解為不正確的使用。這種模型的 特點(diǎn)是收集非正常操作也就是入侵行為的特征 ,建立相關(guān)的特征庫 。在后續(xù)的檢 測(cè)過程中 ,將收集到的數(shù)據(jù)與特征庫中的特征代碼進(jìn)行比 較 ,得出是否存在入侵 的結(jié)論?？梢钥闯?,這種模型與非主流的病毒檢測(cè)方式基本一致。當(dāng)前流行的系 統(tǒng)基本采用了這個(gè)模型。 按照數(shù)據(jù)分析發(fā)生的時(shí)間不同 ,可以分為 : 脫機(jī)分析 :就是在行為發(fā)生后 ,對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析 ,而不是在行為發(fā) 生的同時(shí)進(jìn)行分析。如對(duì)日志的審核 ,對(duì)系統(tǒng)文件的完整性檢查等都屬于這種。 一般而言 ,多級(jí)分析也不會(huì)間隔很長時(shí)間 ,所謂的脫機(jī)是與聯(lián)機(jī)相對(duì)而言的。 聯(lián)機(jī)分析 :就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同事對(duì)其進(jìn)行檢查 ,以發(fā)現(xiàn)攻 擊行為。這種方式一般用對(duì)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)分析 ,對(duì)系統(tǒng)資源要求比較高。 按照系統(tǒng)各個(gè) 模塊運(yùn)行的分布方式不同 ,可以分為 : 集中式 :系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)模塊都集中在一 臺(tái)主機(jī)上運(yùn)行 ,這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡(jiǎn)單的情況。 分布式 :系統(tǒng)的各個(gè)模塊分布在網(wǎng)絡(luò)中不同的計(jì)算機(jī)、設(shè)備上 ,一般來說 分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上 ,例如游戲系統(tǒng)引入的傳感器 ,如果網(wǎng)絡(luò)環(huán)境 比較復(fù)雜、數(shù)據(jù)量比較大 ,那份數(shù)據(jù)分析模塊也會(huì)分布 ,一般是按照層次性的原 則進(jìn)行組織 ,例如的結(jié)構(gòu)。 ..基于異常的入侵檢測(cè)系統(tǒng) 基于異常的入侵檢測(cè)系統(tǒng)的方法源于這樣的思想 :正常行為都體現(xiàn)出一定的 規(guī)律性 ,通過分析這些行為 的日志信息就可以總結(jié)出這些規(guī)律 ,而入侵和濫用行 為則通常和正常的行為存在嚴(yán)重的差異 ,通過檢查出這些差異就可以檢測(cè)出入侵。 這樣 ,就能夠有效的對(duì)非法的入侵行為進(jìn)行檢測(cè)。此外不屬于入侵的異常用戶行 為也能被檢測(cè)到。第章智能手機(jī)及入侵檢測(cè)技術(shù)概況 為了完成上述的檢測(cè) ,系統(tǒng)通常考慮下述幾個(gè)問題 : 用戶的行為有一定的規(guī)律性 ,如何選擇數(shù)據(jù)來表現(xiàn)用戶的這些有規(guī)律的行 為。這些數(shù)據(jù)必須能夠反映用戶的行為 ,而且能夠容易地獲取和處理。 通過上面的數(shù)據(jù) ,如何有效的表示用戶的正常行為 ,使用何種方法和數(shù) 據(jù)反映出用戶正常行為的概貌 ,使用何種方法學(xué)習(xí)用戶的新行為對(duì)于整個(gè)系統(tǒng) 來說都很關(guān)鍵。而且 ,這種入侵檢測(cè)系統(tǒng)通常運(yùn)行在用戶的機(jī)器上對(duì)用戶行為進(jìn) 行實(shí)時(shí)監(jiān)控 ,因此所有使用的方法必須具有一定的時(shí)效性。一般來說 ,基于異常 的入侵檢測(cè)系統(tǒng)的主要區(qū)別就在于學(xué)習(xí)和檢測(cè)方法的不同。 另外也要考慮到學(xué)習(xí)過程的時(shí)間長短、用戶行為的時(shí)效性等問題。 正如前面所介紹的 ,一個(gè)通用的入侵檢測(cè)系統(tǒng)是由數(shù)據(jù)提取模塊 ,數(shù)據(jù)分析 模塊和結(jié)果處理模塊組成 ,下面就針對(duì)這三個(gè)部分進(jìn)行進(jìn)一步的討論。 通?；诋惓５娜肭謾z測(cè)系統(tǒng)的檢測(cè)是針對(duì)某個(gè)特性的對(duì)象 ,這個(gè)對(duì)象可以 是某個(gè)程序。 監(jiān)視對(duì)象的行為 ,學(xué)習(xí)這個(gè)對(duì)象的行為特征 ,以便產(chǎn)生這個(gè)對(duì)象的 行為概貌 ,并通過監(jiān)視對(duì)比學(xué)習(xí)到的行為概貌檢測(cè)出這個(gè)對(duì)象的異常行為 ,產(chǎn)生 警告并作出相應(yīng)的反應(yīng)。其中的監(jiān)視行為是數(shù)據(jù)提取模塊需要做的工作。此外 , 根據(jù)其后的檢測(cè)過程 ,本模塊還把原始數(shù)據(jù)格式化成為特定格式的數(shù)據(jù) ,以便分