智能主动防御系统的设计与实现.pdf

中国优秀硕士学位论文全文数据库 2011年 第S1期 信息科技辑
Chinese Master's Theses Full-text Database 2011, Information Science and Technology I139-129-1
智能主动防御系统的设计与实现

张静
学位授予单位: 西安电子科技大学; 学科专业: 软件工程

摘 要

传统的防火墙、入侵检测系统和杀毒软件在本质上都是防御性质的。也就是入侵者掌握着主动权。因
此设计新型的主动防御未知病毒和未知入侵技术是当前安全防护软件迫切需要解决的问题。
本文提出的智能主动防御系统正是一款集预防、检测和响应于一身的全方位安全防护软件。本系统可
以同时抵御来自网络和主机的安全威胁,与传统的防护软件相比,它的两大特色就是：“智能”和“主动”。
文章主要阐述了智能主动防御系统的两大核心技术——智能攻击检测和主动防御的设计与实现。(1)
智能防火墙的实现：系统利用 WinPcap 捕获局域网内传输的各种协议的数据包,利用 ARP 欺骗技术获取外
来入侵数据包；并对它们进行分析、提取特征,并将特征存入特征库；从而实现主动学****和数据包过滤功能。
(2)主动防御的实现：系统采用监测程序行为的方式,通过研究基于 NT 内核的 Windows 操作系统结构,系统
钩挂 SSDT 表和 Shadow SSDT 表中的函数,把对这些函数的调用替换为调用我们自己定义的函数,从而实现
对关键进程、注册表操作、驱动加载等程序行为进行监测与分析。
最后通过系统测试验证技术的正确性和有效性。

关键词：智能;;主动;;防御系统;;ARP;;钩挂

中图分类号：

Abstract

Traditionally, information security has been primarily defensive. Firewalls, Intrusion Detection Systems, virus
scanner; all of these mechanisms are used defensively to protect one's resources. The strategy is to defend one's
organization as best as possible, detect any failures in the defense, and then react to those failures. The problem
with this approach is it purely defensive, the enemy has the initiative