网络空间信息安全教案第9章入侵防御系统|江阴雨辰互联

2023年7月8日发(作者：)

1、封面

《网络空间信息安全》

教

案

课程名称：网络安全

总学时／周学时： 48/4

开课时间：第 1周至第 12周

授课年级、班级：

使用教材：网络空间信息安全

授课教师：苏永红

2、教案扉页课程要求（在培养方案中的地位、开课学期，先修、后续课程）

《网络安全》是计算机专业的专业课，在专业课程体系中占有重要地位。

开课学期：

先修课程/后修课程： Java语言程序设计、计算机网络/毕业设计

教学目标

课程目标1：了解网络空间信息安全的基本概念。

课程目标2：掌握病毒防范技术。

课程目标3：掌握远程控制与黑客入侵技术。

课程目标4：掌握网络空间信息密码技术。

课程目标5：掌握数字签名与验证技术。

课程目标6：掌握网络安全协议

课程目标7：掌握无线网络安全机制

课程目标8：掌握访问控制与防火墙技术

课程目标9：掌握入侵防御系统技术

课程目标10：掌握网络数据库安全与备份技术

教学方法

讲授、讨论+实验

课程性质（创新意识、实践能力培养）

《网络安全》是计算机专业的专业课，在专业课程体系中占有重要地位。

设置本课程的目的是使学生获得：信息保密技术；信息认证技术；病毒防范技术；访问控制技术；数据库安全；信息安全标准和管理等网络安全方面的基本概念、基本实现方法和基本应用方法，培养学生分析问题和解决问题的能力。为以后工作中接触到密码学、信息安全理论等相关领域的实际应用打好基础。

参考资料

1《网络安全-技术与实践》，刘建伟等，北京，清华大学出版社，2017。

2《网络安全》，沈鑫剡等，北京，清华大学出版社，2017。

3 《网络安全实验教程》，沈鑫剡等，北京，清华大学出版社，2017。

备注说明

3、教案内容

第9章入侵防御系统

课题

名称

第9章入侵防御系统

计划学时

2课时

内容

分析

网络中的一切资源都是黑客攻击的目标，蠕虫、木马等恶意代码的传播使得任何终端都可能成为黑客控制的攻击源，实施攻击的信息流无处不在，这就要求对流经网络传输的一切信息流进行检测和控制，前面讨论的网络空间安全技术无法做到这一点，入侵防御系统就是对这些网络安全技术的补充。本章主要讨论入侵手段、防火墙与杀毒软件的局限性、入侵防御系统的功能、入侵防御系统的分类、入侵防御系统的工作流程、入侵防御系统的不足、入侵防御系统的发展趋势、入侵防御系统的评价指标、网络入侵防御系统、主机入侵防御系统。

1、了解入侵手段、防火墙与杀毒软件的局限性

教学目2、了解入侵防御系统的功能

标及基3、了解入侵防御系统的分类

本要求

4、了解入侵防御系统的工作流程

教学

重点

教学

难点

教学

方式

1、入侵防御系统的功能

2、入侵防御系统的工作流程

1、网络入侵防御系统、主机入侵防御系统

讲授、讨论+实验

第一课时

（入侵防御系统概述）

二、创设情境，引出本节内容

所有破坏网络可用性、保密性和完整性的行为都是入侵，目前黑客的入侵手段主要有恶意代码、非法访问和拒绝服务攻击。

教

学

过

二、进入重点知识的讲解

1、入侵防御系统概述

教师首先讲解什么是入侵防御系统，再讲解入侵防御系统包含哪几部分内容。

① 入侵手段

程

恶意代码、非法访问、拒绝服务攻击

② 防火墙与杀毒软件的局限性

防火墙的局限性

防火墙是一种设置在网络边界、有效控制内网和外网之间信息交换的设备。例如，通过配置访问控制策略，防火墙可以将外网对非军事区中的资源的访问权限设置为只允许读取Web服务器中的Web页面和下载FTP服务器中的文件。但是外网对内网中终端实施的攻击往往是通过防火墙访问控制策略允许的信息交换过程完成的，如通过内网终端访问外网Web服务器时，或通过内网终端接收的邮件植入恶意代码，因此，在网络威胁多样化的今天，防火墙已经无法阻止来自外网的全部攻击。

杀毒软件的局限性

杀毒软件可以检测出感染病毒的文件，删除或隔离病毒，防止病毒发作危害主机系统，但是杀毒软件无法对黑客利用操作系统或应用程序的漏洞实施的攻击予以防范，并且大多数杀毒软件只能检测出已知病毒，即病毒特征包含在病毒库中的病毒，无法检测出未知病毒。另外，杀毒软件无法防范拒绝服务攻击。

（2）入侵防御系统的功能

入侵防御系统（Intrusion Prevision System，IPS）是一种能够对流经某个网段的信息流或发生在主机系统上的操作进行监测、分析和关联，在确定存在用于实施攻击的信息流或操作时进行反制的系统，具有如下功能。

（1）获取流经某个网段的信息流或拦截发送给操纵系统内核的操作请求的能力。

（2）检测获取的信息流或拦截到的操作请求是否具有攻击性的能力。

（3）将多个点的检测结果综合分析和关联的能力。

（4）记录入侵过程，提供审计和调查取证需要的信息能力。

（5）追踪入侵源，反制入侵行为的能力。

(3) 入侵防御系统分类

入侵防御系统分为两大类：主机入侵防御系统（Host Intrusion Prevention，HIPS）和网络入侵防御系统（Network Intrusion Prevention，NIPS），如图9.1所示。主机入侵防御系统主要用于检测到达某台主机的信息流、监测对主机资源的访问操作；网络入侵防御系统主要用于检测流经网络某段链路的信息流。

图9.1 入侵防御系统分类

① 主机入侵防御系统通过网络入侵防御系统实现对主机的保护是困难的。这是因为：网络入侵防御系统只能捕获单段链路的信息流，无法对流经网络各段链路的所有信息流进行检测；网络入侵防御系统无法检测出所有已知或未知的攻击；不同的主机配置，如不同的操作系统、应用服务平台，对攻击的定义不同；当主机攻击目标时，攻击动作在主机中展开，主机是判别接收到的信息是否是攻击信息的合适之处。因此，对主机的有效保护主要是通过主机入侵防御系统实现的。主机入侵防御系统对所有进入主机的信息进行检测，对所有和主机建立的TCP连接进行监控，对所有发生在主机上的操作进行管制。

主机入侵防御系统具有如下特有的功能。

① 有效抵御恶意代码攻击。

② 有效管制信息传输。

② 网络入侵防御系统

1）保护网络资源

主机入侵防御系统只能保护主机免受攻击，需要网络入侵防御系统保护结点和链路免遭攻击，如一些拒绝服务攻击就通过阻塞链路达到正常用户无法正常访问网络资源的目的。

2）大规模保护主机

主机入侵防御系统只能保护单台主机免遭攻击，如果一个系统中有成千上万台主机，那么每一台主机都安装主机入侵防御系统是不现实的。一是成本太高，二是所有主机入侵防御系统的安全策略一致也很困难。单个网络入侵防御系统可以保护一大批主机免遭攻击，如图9.1所示的网络入侵防御系统可以保护内网中的终端免遭外网黑客的攻击。

3）和主机入侵防御系统相辅相成

主机入侵防御系统由于能够监管发生在主机上的所有操作，而且可以通过配置列出非法或不合理的操作，从而通过最终操作的合理和合法性来判别主机是否遭到攻击，这是主机入侵防御系统能够检测出未知攻击的主要原因，有些攻击是主机入侵防御系统无法检测的，如黑客进行的主机扫描，主机入侵防御系统无法根据单个被响应或被拒绝的TCP连接建立请求确定黑客正在进行主机或端口扫描，但网络入侵防御系统可以根据规定时间内由同一主机发出的超量TCP连接建立请求确定网络正在遭受黑客的主机扫描侦察。

三、归纳总结，随堂练习，布置作业

（1）对课堂上讲解的知识点进行总结，使用学习通的练习题巩固本节课的知识点。

第二课时

（入侵防御系统工作过程）一、回顾上节课内容，引出本节内容

（1）对上节课留的作业进行答疑

（2）回顾上节课内容，引出本节课主题

在上一节课中已经介绍了入侵防御系统概述，本节课将讲解入侵防御系统工作过程包含的主要内容。

（3）明确学习目标

1、了解入侵防御系统工作过程。

2、了解入侵防御系统的不足。

3、了解入侵防御系统的发展趋势。

4、了解入侵防御系统的评价指标

二、进行重点知识的讲解

（1）入侵防御系统工作过程

① 网络入侵防御系统工作过程

1）捕获信息

网络入侵防御系统是一种对经过网络传输的信息进行异常检测的设备，因此，首先必须具有捕获信息的功能。捕获信息是指获取需要检测的信息。

在网络入侵防御系统捕获内网和外网之间传输的信息的过程中，这种捕获方式要求内网和外网间传输的信息必须经过网络入侵防御系统转发，增加了网络入侵防御系统反制异常信息的能力。在网络入侵防御系统捕获终端和服务器间传输的信息的过程中，终端服务器间交换的信息不需要经过网络入侵防御系统转发，因此，网络入侵防御系统无法过滤掉异常信息。

2）检测异常信息

第一种异常信息是包含恶意代码的信息，如一个包含病毒的网页，检测这种异常信息的方法和杀毒软件相似，需要提供病毒特征库，网络入侵防御系统通过检测信息中是否包含病毒特征库中的一种或几种特征来确定信息是否异常。第二种异常信息是信息内容和指定应用不符的信息，如目的端口号为80，但信息内容并不是HTTP报文，或者，虽然是HTTP报文，但是报文中的一些字段的取值和HTTP要求不符。第三种异常信息是实施攻击的信息，如指针炸弹。指针炸弹利用了服务器中的指针守护程序转发服务请求的功能，指针守护程序将符号@前面的服务请求转发给紧接在符号@后面的服务器，如果符号@后面紧接着符号@，就意味着再次转发服务请求，这样，如果某个服务请求和服务器之间有着一连串的符号@，如下列服务请求格式：

jdoe@@@@@@@@@@@NETSERVER

那么服务请求将被重复转发给服务器，导致服务器资源耗尽，因此，包含上述服务请求格式的信息就是实施攻击的信息。

3）反制异常信息

监测到异常信息时，网络入侵防御系统可以对异常信息采取反制动作。

（1）丢弃IP分组

（2）释放TCP连接：一旦检测到异常信息，而该异常信息又属于某个TCP连接，网络入侵防御系统就通过向该TCP连接的发起端或响应端发送RST位置1的TCP控制报文来释放该TCP连接。前面讲的两种信息捕获方式都可以实现这种反制动作。

4）报警

由于网络入侵防御系统无法检测出所有已知或未知的攻击，而且网络入侵防御系统只能对捕获到的信息进行检测，因此，不能通过网络入侵防御系统解决整个网络的安全问题。但是每一段链路的信息流模式都是不独立的，通过对某一段链路的检测，可以分析出整个网络的信息流模式和状态，如某段链路检测出攻击信息，很可能整个网络都处于被攻击状态，因此，需要网络安全管理员对整个网络的安全进行检测，并对遭受到的攻击进行处理。当网络入侵防御系统检测到攻击信息时，不仅需要进行反制动作，还需要向控制中心报警，提醒网络安全管理员应对可能存在的攻击。

5）登记和分析

（2）主机入侵防御系统工作过程

1）拦截主机资源访问操作请求和网络信息流

恶意代码激活、感染和破坏主机资源的过程都涉及对主机资源的操作，这种操作最终通过调用操作系统内核的文件系统、内存管理系统、I/O系统的服务功能来实现，因此，主机入侵防御系统必须能够拦截所有调用操作系统内核服务功能的操作请求，并对操作请求的合法性进行检测。黑客攻击主机的操作通过网络实现，黑客发送的攻击信息和恶意代码以信息流方式进入主机，因此，主机入侵防御系统必须能够拦截所有进入主机的信息流，并加以检测，确定是否包含攻击信息或恶意代码。

2）采集相应数据

为判别调用操作系统内核服务功能的操作请求的合法性，需要获得一些数据，如发出调用请求的应用进程及进程所属的用户、操作类型、操作对象、用户状态、主机位置、主机系统状态等，主机入侵防御系统根据这些数据来确定操作请求的合法性。

3）确定操作请求或网络信息流的合法性

必须根据正常访问规则和主机系统的安全要求设置安全策略，如除用户认可的安装操作外，不允许其他应用进程修改注册表，不允许属于某个用户的应用进程访问其他用户的私有目录等。主机入侵防御系统根据采集到的数据和安全策略确定操作是否合法。

4）反制动作

（1）终止应用进程：一旦检测到非法操作请求，立即终止发出该非法操作请求的应用进程，并释放为该应用进程分配的所有主机资源。

（2）拒绝操作请求：操作请求虽然非法，但是非法操作请求的操作结果对主机系统的破坏性不大。这种情况下，可以只拒绝该操作请求，但是不终止发出该非法操作请求的应用进程。

5）登记和分析

同样，对某台主机的攻击可能是对网络攻击的一个组成部分，因此，必须将主机遭受攻击的情况报告给网络安全管理员，以便其调整整个网络的安全策略。

（3）入侵防御系统的不足

① 主机入侵防御系统的不足

主机入侵防御系统只是一个应用程序，所监管的发生在主机上的操作往往由操作系统实现，因此，需要多个和操作系统对应的主机入侵防御系统，同时必须具有拦截用户应用程序和操作系统之间交换的服务请求和响应的能力。这样一方面会影响一些应用程序的运行，另一方面也存在监管漏洞，而且操作系统无法对主机入侵防御系统提供额外的安全保护，容易发生卸载主机入侵防御系统、修改主机入侵防御系统配置的事件。

③ 网络入侵防御系统的不足入侵防御系统检测异常信息的机制主要有两类：一类针对已知攻击，另一类针对未知攻击。对于已知攻击，通过分析攻击过程和用于攻击的信息流模式，提取出攻击特征，建立攻击特征库。通过对捕获的信息进行攻击特征匹配来确定是否是攻击信息。只要攻击特征能够真实反映攻击信息不同于其他正常信息的特点，就有可能通过建立完整的攻击特征库来检测出已知攻击。对于未知攻击，首先建立正常操作情况下的一些统计值，如单位时间内访问的文件数、登录用户数、建立的TCP连接数和通过特定链路传输的信息流量等，然后在相同单位时间内实时统计上述参数，并将统计结果和已建立的统计值比较，如果多个参数出现比较大的偏差，就说明网络的信息流模式或主机的资源访问过程出现了异常。由于建立正常操作情况下的一些统计值时，很难保证主机和网络未受到任何攻击，因此，正常统计值的可靠性并不能保证。对于正常的网络资源访问过程，随着用户的不同，用户访问的网络资源的不同，实时统计的参数值的变化很大，因此，很容易将正常的网络资源访问过程误认为是攻击，而真正的攻击却可能因为和建立统计值时的网络操作过程相似而被认为是正常操作。

（4）入侵防御系统的发展趋势

① 融合到操作系统中

主机入侵防御系统应该成为操作系统的一部分，因为操作系统对主机资源的访问过程进行监管。用户在访问网络资源前，需要到验证中心申请证书，并在证书中列出对网络资源的访问权限，在以后进行的网络资源访问过程中，都必须在访问请求中携带证书。每当有用户访问主机资源时，操作系统必须核对用户身份和访问权限。只有拥有对该主机资源访问权限的用户才能进行访问过程，这样可以有效防止黑客攻击和内部用户的非法访问。

② 集成到网络转发设备中

独立的网络入侵防御系统无法对流经所有网段的信息进行检测，因此存在安全漏洞。由于网络中的信息必须经过交换机、路由器等转发设备转发，因此，将网络入侵防御系统集成到网络转发设备中是实现对网络中所有信息进行检测的最佳选择。

（5）入侵防御系统的评价指标

评价入侵防御系统的指标主要有正确性、性能和全面性。 ① 正确性

正确性要求入侵防御系统减少误报。误报是把正常的信息交换过程或网络资源访问过程作为攻击过程予以反制和报警的情况。误报一方面浪费了网络安全管理员的时间，另一方面因为网络安全管理员丧失对入侵防御系统的信任，而使入侵防御系统失去作用。

② 性能

性能是捕获和检测信息流的能力。网络入侵防御系统必须具有线速捕获、检测流经网段信息流的能力。当关键网段的信息传输速率达到10Gb/s时，必须相应提高实现关键网段入侵防御的网络入侵防御系统的性能，同样，主机入侵防御系统不能降低主机系统，尤其是服务器的响应服务请求的能力。

③ 全面性

全面性要求入侵防御系统减少漏报。漏报与误报相反，把攻击过程当作正常的信息交换过程或对网络资源访问过程不予干涉，从而使黑客入侵成功。同样，漏报过多将使入侵防御系统失去作用。漏报主要发生在对未知攻击的检测中，减少漏报的关键同样在于用于区分正常信息交换过程（或资源访问过程）与攻击过程的统计值和规则集，但是建立能够检测出所有未知攻击，又不会发生误报的统计值和规则集是非常困难的。

（6）网络入侵防御系统

①系统结构

图9.2所示是网络入侵防御系统的应用方式。探测器是核心设备，负责信息流捕获、分析、异常检测，反制动作执行及报警和登记等操作，通过管理端和安全管理器相连。为了安全起见，互连探测器和安全管理器的网络与信息传输网络是两个独立的网络。安全管理器负责探测器安全策略的配置，报警信息的处理，登记信息的分析、归类，最终形成有关网络安全状态的报告，并提供给网络安全管理员。

探测器可以工作在两种模式：转发和探测。转发模式从一个端口接收信息流，对其进行异常检测，在确定为正常信息的情况下，从另一个端口转发出去，图9.2中的探测器2就工作在转发模式。探测模式被动地接收信息流，对其进行处理，发现异常时，向安全管理器报警，并视需要向异常信息流的源和目的终端发送复位TCP连接的控制报文，图9.2中的探测器1就工作在探测模式。图9.2 系统结构

② 信息捕获机制

探测器工作在转发模式时，信息流需要经过探测器进行转发，不存在捕获信息流的问题。捕获信息流机制主要讨论探测器工作在探测模式时的信息流捕获方式

集线器

集线器的所有端口构成一个冲突域，从任何一个端口进入的MAC帧都将从除接收到MAC帧端口以外的所有其他端口转发出去，因此，连接在集线器上的探测器能够采集到所有经过集线器转发的MAC帧，图9.3给出了工作在探测模式的探测器捕获终端A经过集线器发送给终端B的MAC帧的过程。

图9.3 使用集线器捕获信息流机制

③ 交换机端口镜像

交换机和集线器不同，从一个端口接收到MAC帧后，用MAC帧的目的MAC地址检索转发表，只从转发表中和目的MAC地址匹配的端口转发该MAC帧，因此，图9.4中终端A发送给终端B的MAC帧通常只从连接终端B的端口转发出去，探测器是无法捕获到该MAC帧的。交换机提供了一种称为端口镜像的功能。

图9.4 使用交换机端口镜像功能捕获信息流机制

图9.5中的探测器需要捕获所有从交换机1端口1输入的信息流，那么需要将交换机1端口1、端口2和交换机2端口1、端口2构成一个特定的VLAN，所有从交换机1端口1进入的MAC帧，除了正常转发操作之外，还需要在特定的VLAN中广播，这样，终端A发送给终端B的MAC帧除了从交换机1端口3的正常输出外，还需要从构成特定VLAN的端口中广播出去，最终得到工作在探测模式的探测器。

图9.5 使用跨交换机端口镜像功能捕获信息流机制

④ 入侵检测机制

目前，网络入侵防御系统的入侵检测机制主要可以分为3类：攻击特征检测/协议译码和异常检测。攻击特征检测和杀毒软件检测病毒的机制相同，从已发现的攻击中，提取出能够标识这一攻击的特征信息，构成攻击特征库，然后在捕获到的信息中进行攻击特征匹配操作。如果匹配到某个攻击特征，则说明捕获到的信息就是攻击信息。协议译码对IP分组格式、TCP报文格式进行检测，并根据TCP报文的目的端口字段值或IP报文的协议字段值确定报文净荷对应的应用层协议，然后根据协议要求对净荷格式、净荷中各字段内容及请求和响应过程进行检测，发现和协议要求不一致的地方，就表明该信息可能是攻击信息。异常检测是建立正常网络访问下的信息流模式或正常网络访问规则，然后实时分析捕获到的信息所反映的信息流模式或对网络资源的操作，并对分析结果和已经建立的信息流模式库或操作规则库相比。如果发现较大偏差，就说明发现异常信息。

⑤ 安全策略

网络结构如图9.11所示，网络入侵防御系统用于防御对Web和FTP服务器的攻击，采用的入侵检测机制包含攻击特征匹配、协议译码和异常检测。

表9.3给出了网络入侵防御系统的安全策略，其中源IP地址、目的IP地址和服务字段确定了允许发出指定服务请求的源IP地址范围、响应服务的目的IP地址范围。例如，规则1表明任意终端可以对地址为192.1.1.1的Web服务器发出HTTP服务请求，并启动HTTP服务过程。这3个字段主要用于定义协议译码需要的参数。攻击特征库/类型字段给出用于攻击特征匹配的攻击特征库、标识信息异常的阈值和规则。动作字段给出检测出指定攻击和异常时采取的措施。例如，规则1表明只有符合下述全部条件的IP分组才能继续转发：属于目的IP地址192.1.1.1/32的TCP连接，且IP首部字段值符合协议规范要求；TCP首部字段值符合协议规范要求，支持的应用层协议是HTTP，且应用层数据格式和各字段值符合HTTP规范；HTTP报文中不包含攻击特征，用于检测攻击特征的攻击特征库名为“HTTP-严重”；单位时间内接收到的TCP连接建立请求报文数小于阈值；⑤ 信息流不具备交互式特性。

图9.11 网络结构

表9.3 安全策略

规则编号

源IP地址

任意

目的IP地址

192.1.1.1/32

服务

HTTP

攻击特征库/类型

HTT P-严重

SYN泛洪

交互式信息

FTP-严重

2 任意 192.1.1.3/32 FTP SYN泛洪

交互式信息

动作

源IP阻塞

丢弃IP分组

源IP阻塞

丢弃IP分组

源IP阻塞

(7) 主机入侵防御系统

① 黑客攻击主机系统过程

黑客对主机系统的攻击过程分为侦察、渗透、隐藏、传播和发作等阶段。

② 主机入侵防御系统功能

检测主机系统是否遭受黑客的攻击需要从两方面着手：一是检测接收到的信息流中是否包含恶意代码与利用操作系统和应用程序漏洞实施攻击的攻击特征，如URL包含Unicode编码的HTTP请求消息；二是检测系统调用的合理性和合法性，黑客实施攻击过程的每一阶段都需要通过系统调用对主机系统资源进行操作，如生成子进程，修改注册表，创建、修改和删除文件，分配内存空间等。因此，主机入侵防御系统的关键功能就是拦截系统调用，根据安全策略和主机系统状态检测系统调用的合理性和合法性，拒绝执行可疑的系统调用，并对发出可疑系统调用的进程和进程所属的用户进行反制。

③ 主机入侵防御系统工作流程

图9.12给出了主机入侵防御系统的工作流程。

首先，它必须能够截获所有对主机资源的操作请求，如调用其他应用进程、读写文件、修改注册表等操作请求。其次，根据操作对象、系统状态、发出操作请求的应用进程和配置的安全策略确定是否允许该操作进行，必要时可能需要由用户确定该操作是否进行。在允许操作继续进行的情况下，完成该操作请求。安全策略给出允许或禁止某个操作的条件，如发出操作请求的应用进程和当前的系统状态，禁止Outlook调用，禁止在非安装程序阶段修改注册表就是两项安全策略。如果发生违背安全策略的操作请求，就可以确定是攻击行为，必须予以制止，并实施反制。

图9.12 工作流程

④ 截获机制

实现主机入侵防御系统功能的前提是能够截获对主机资源的操作请求，收集和操作相关的参数。这些操作包括对文件系统的访问、对类似注册表的系统资源的访问、TCP连接建立及其他I/O操作等。与操作相关的参数有操作对象、操作发起者、操作发起者状态等。目前，用于截获操作请求的机制有修改操作系统内核、系统调用拦截和网络信息流监测等。

1）修改操作系统内核当操作系统内核接收到操作请求时，先根据操作请求中携带的信息和配置的如表9.4所示的访问控制阵列确定是否为正常访问操作。操作系统内核只实施正常访问操作，表9.4中给出的是指定用户所启动的某个进程允许访问的主机资源。

表9.4 访问控制阵列

主机资源

资源A

资源B

用户

用户A

用户B

用户A

进程

进程A

进程B

进程A

2) 系统调用拦截

图9.13给出了系统调用拦截过程。由于通常由操作系统内核实现对主机资源的操作，因此，应用程序通过系统调用请求操作系统内核完成对主机资源的操作。系统调用拦截程序能够拦截应用程序发出的系统调用，并根据发出系统调用的应用程序、需要访问的主机资源、访问操作类型等数据和配置的安全策略确定是否允许该访问操作进行，将允许操作进行的系统调用发送给操作系统内核。

图9.13 系统调用拦截过程

3）网络信息流监测

网络信息流在主机内部的传输过程如图9.14所示。来自Internet的网络信息流被网卡驱动程序接收后首先传输给属于操作系统内核一部分的TCP/IP组件（Windows中的名称），经过TCP/IP组件处理后，传输给信息流的接收进程，如浏览器或Web服务器（IIS/Apache）。一些攻击的对象并不是网络应用程序，而是TCP/IP组件。对于这种攻击，系统调用拦截程序并不能监测到，必须在网卡驱动程序和TCP/IP组件之间设置监测程序，即网络信息流监测器。图9.14 网络信息流传输过程

⑤ 访问控制策略

访问控制策略根据操作请求的发起者、操作类型、操作对象及用户和系统状态确定操作是否进行。通常情况下，先制定不同安全等级的安全策略，然后将安全策略和用户系统状态绑定在一起构成访问控制策略。安全策略确定操作规则，通常由以下几部分组成。安全策略实例如表9.5所示。

表9.5 安全策略实例

名称

类型

文件访问控制

注册表访A2

问控制

网络访问A3

控制

应用进程访问控制

网络访问A5