基于程序行为的异常检测：安全操作系统访问控制与实时报警比较

本文主要探讨的是"安全操作系统的访问控制与实时报警"这一主题，针对当前计算机和互联网技术快速发展带来的信息安全挑战，尤其是在开放式网络环境中，安全性问题日益突出。随着新漏洞和病毒的频繁出现，以及新技术可能带来的系统复杂性，用户对计算机的信任度下降，这就突显了操作系统在保障信息安全中的关键作用。 操作系统作为系统软件的核心，其安全性能直接影响到整个信息系统的安全性。为了满足用户对机密性、完整性、可用性、可记账性等基本安全需求，安全操作系统需要具备一系列安全功能，如身份鉴别、访问控制、安全审计和入侵检测等。其中，访问控制是安全操作系统研究的核心，特别是基于程序行为的异常检测方法，它通过构建高效和准确的程序行为模型来识别和防止潜在威胁。 本文深入研究了已有的异常检测模型，这些模型包括但不限于BLP（Bell-LaPadula）模型、DTE（Discretionary Trust Enforcement）模型和RBAC（Role-Based Access Control）模型。BLP关注机密性，DTE关注完整性，而RBAC则侧重于访问控制角色的授权管理。然而，这些经典的模型存在局限性，比如BLP过于严格，DTE只考虑部分安全需求，而RBAC在实际应用中可能存在授权管理的复杂性。 作者从三个方面进行了研究：一是通过系统调用信息理解进程行为；二是分析异常检测中使用的原子单位粒度，这是衡量检测精确度的重要指标；三是考察异常检测器记录的原子单位信息，这对于评估模型的效率至关重要。作者对这些模型进行了多维度的评价，如汇聚时间、错误报警率、检测能力、空间需求和运行时间，以期找到最适合的安全控制策略。 通过对这些模型的比较，本文旨在提出一种更为全面、适应性强且高效的访问控制机制，以应对日益复杂的网络安全威胁，提升安全操作系统的实用性和可靠性。同时，本文的工作也为未来的研究提供了有价值的参考框架，推动了安全操作系统领域的发展。