论文部分内容阅读
计算机和网络技术的广泛应用使社会迅速进入了一个信息化的时代,这给用户带来了很多的方便,但随之也带来了各种各样的安全问题。其中内网安全已经成为了信息安全领域的一个新热点。内网安全从某种程度来说就是数据安全,而电子文件是数据最常见的表现形式。目前很多企业采取措施保护内部文件不被泄露,但往往对内部员工的行为采取的措施较弱。而企业的内部员工较其他人来说更为了解企业的结构,获取企业内部文件更为方便,他们自己攻击或泄露一些文件信息,很可能给企业带来致命的威胁。主要表现为内部人员非法对敏感信息进行篡改、复制、传播、打印和删除等操作,造成电子文档的泄密。所以为了内网安全,研究用户对电子文件操作行为的捕获监控技术变得极为迫切。目前对本地文件的安全保护这方面的研究很少,即使现有的一些文件监控系统,主要是监控记录用户行为,没有及时地采取措施。此外,内网中的各种各样的网络攻击存在风险,如拒绝服务、内网漏洞等。面对这些攻击,当前常用的一些被动防御方法如数据加密、虚拟子网、防火墙等已不能完全保证安全了。而入侵检测技术,它主动地收集各种信息,比如有用户活动、网络数据等,然后进行安全性分析,高效的识别出网络攻击并产生响应。现有大部分的入侵检测系统都是把数据分成正常和异常两类,这样可能会丢失重要信息,也有一些对于多分类的研究,但效果不太理想。另外网络入侵检测数据集中存在的大量冗余和噪声特征会影响检测系统的性能。针对以上提到的问题,本文主要研究以下几点:1)研究了 API Hook和DLL注入等技术。针对于电子文件,基于这些技术对其常规使用权限进行监控和控制,包括文件内容的打开、关闭、打印、复制、粘贴等操作,实现“事前控制”;2)使用Hook技术捕获打印文件的动作,并采取一定的措施,比如嵌入标识用户身份的水印。以便一旦打印文档丢失,可以追踪打印者身份,实现“事后追踪”;3)为了检测攻击,本文主要研究了入侵检测和机器学习中的支持向量机。针对其中多分类研究效果较差和数据集冗余的问题,本文使用了一种基于Fisher分和多分类支持向量机的入侵检测特征选择算法,能够更好地检测攻击,实现“检测防护”。仿真测试结果表明,该方法具有较高的检测率和较低的测试时间,提高了系统性能。