论文部分内容阅读
本文首先介绍了计算机领域的安全需求,根据美国国防部的可信计算机评测标准(TCSEC)和计算机信息系统的通用安全评价准则(Common Criteria for IT Security Evaluation,CC)中提出的安全操作系统的审计标准,提出本系统的设计目的。本文根据CC中的审计分析和响应要求,在内核层完成了一个类似入侵检测的实时审计分析系统(RAAS)。结合原审计系统,在内核层收集系统调用和特权命令的数据,分析过后与用户正常库比较,达到监控的目的。论文先后描述了现有的Windows NT、Solaris、Linux系统的审计和入侵检测,通用入侵检测系统的框架(CIDF);分析和比较了IDS的检测以及监控分析方法;描述和分析了安胜安全操作系统,特别是与实时审计分析系统紧密联系的审计系统。在此基础上,在实时审计分析系统的设计部分,依照通用的入侵检测模型(CIDF)对监控事件的产生、用户正常规则库、监控分析过程和响应单元逐个进行阐述。对于实时审计分析系统的整体运行设计,从操作系统原有数据结构task_struct的改变,内核进程kaasd的设计,RAAS的定时和系统的配置和初始化这几个方面逐个进行叙述。在本文的最后,从RAAS的达到的目的,与原有安全功能的有效合成等方面对该系统作了一个评价,同时提出几个需要进一步思考的问题,如对网络的扩展,对入侵检测新技术的引入等