1、“防火墻+入侵檢測系統(tǒng)”是目前網(wǎng)絡(luò)信息安全技術(shù)的重要解決方案。防火墻僅僅能夠作為網(wǎng)絡(luò)邊界的屏障，而不能代替整個安全系統(tǒng)的作用；基于入侵特征庫的入侵檢測系統(tǒng)，僅僅能夠被動地檢測已知的安全入侵方式，而對未知的入侵方式則無能為力。后來出現(xiàn)的入侵檢測系統(tǒng)與防火墻聯(lián)動的安全系統(tǒng)，也存在沒有統(tǒng)一的標(biāo)準(zhǔn)接口和維護(hù)難度大的缺點，同時其被動性和滯后性仍然沒有得到解決。一種主動的、積極的入侵防御系統(tǒng)已成為近幾年信息安全領(lǐng)域研究的熱點。入侵防御系統(tǒng)分為基于主

2、機和基于網(wǎng)絡(luò)兩種，它們都有各自的優(yōu)勢，能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。如果將兩者集成到一起，組成混合型入侵防御系統(tǒng)，將提供一個更為全面的、主動的安全措施。 本文詳細(xì)分析了防火墻和入侵檢測系統(tǒng)的優(yōu)缺點，提出了工作在個人主機操作系統(tǒng)內(nèi)核上的混合型入侵防御系統(tǒng)的思想，研究了系統(tǒng)的體系結(jié)構(gòu)，以及數(shù)據(jù)包捕獲技術(shù)、協(xié)議分析技術(shù)、進(jìn)程保護(hù)技術(shù)和文件保護(hù)技術(shù)等關(guān)鍵技術(shù)，而且設(shè)計了一個主要從網(wǎng)絡(luò)、主機的重要進(jìn)程和重要文件的三個重點層次實施全面

3、保護(hù)的混合型入侵防御系統(tǒng)，并對系統(tǒng)做了相關(guān)的實驗。 由于本文研究的系統(tǒng)擁有網(wǎng)絡(luò)監(jiān)控和主機監(jiān)控兩種功能，所以系統(tǒng)同時擁有防御來自外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和針對本機鍵盤的攻擊的能力。此外，系統(tǒng)還具有主動防御和實時阻斷的特點。 本文研究的系統(tǒng)部署在目標(biāo)主機上，通過內(nèi)核模式驅(qū)動程序，工作在操作系統(tǒng)核心態(tài)，并在系統(tǒng)中引入了強身份訪問控制技術(shù)，對關(guān)鍵資源進(jìn)行主動防御，可以更好地保障用戶個人的信息安全。系統(tǒng)也可以部署到網(wǎng)絡(luò)服務(wù)器和數(shù)據(jù)庫服務(wù)