內(nèi)部網(wǎng)文件監(jiān)控審計(jì)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)的論文

內(nèi)部網(wǎng)文件監(jiān)控審計(jì)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)的論文 內(nèi)部網(wǎng)文件監(jiān)控審計(jì)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)的論文 摘要 本文論述了內(nèi)部網(wǎng)文件監(jiān)控審計(jì)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)。在系統(tǒng)監(jiān)控端上，利用木馬的 “ 隱蔽性 ” ，實(shí)現(xiàn)了在 win2002 系統(tǒng)中的進(jìn)程隱藏和通信隱藏。在文件監(jiān)控上，論述了內(nèi)部網(wǎng)文件監(jiān)控審計(jì)系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行全方位安全保護(hù)機(jī)制。 關(guān)鍵詞 文件監(jiān)控 木馬 網(wǎng)絡(luò)安全 p2dr 模型 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展 ,在關(guān)注外部網(wǎng)安全的同時(shí)，必須要加倍地重視內(nèi)部網(wǎng)的安全控制，內(nèi)部網(wǎng)安全已成為整體網(wǎng)絡(luò)安全的基石和出發(fā)點(diǎn)，而要想控制內(nèi)網(wǎng)則首選文件操作監(jiān)控技術(shù) ,本文通過(guò)分析這兩種常用技術(shù)的利蔽，最后實(shí)現(xiàn)本系統(tǒng)對(duì)內(nèi)網(wǎng)的安全管理的實(shí)現(xiàn)。 一、系統(tǒng)設(shè)計(jì) 內(nèi)部網(wǎng)文件監(jiān)控審計(jì)系統(tǒng) (nfams）是基于 windows 平臺(tái)的內(nèi)部網(wǎng)安全行為監(jiān)控審計(jì)系統(tǒng)，采用集中式管理、分布式控制結(jié)構(gòu)對(duì)網(wǎng)絡(luò)用戶操作行為監(jiān)控，并提供事后安全審計(jì)功能。 代理登錄控制臺(tái)：連接認(rèn)證控制臺(tái)模塊周期地向控制臺(tái)建立連接請(qǐng)求 ，并認(rèn)證控制臺(tái)身份，檢測(cè)到控制臺(tái)已經(jīng)啟動(dòng)，則進(jìn)入代理生存心博模塊；處理控制臺(tái)：代理監(jiān)聽(tīng) tcp 網(wǎng)絡(luò)端口，等待控制臺(tái)的連接請(qǐng)求，并根據(jù)操作碼，進(jìn)入不同的命令處理模塊。 1.系統(tǒng)安全性設(shè)計(jì) 控制臺(tái)采用須獲得對(duì)控制臺(tái)軟件所在的主機(jī)的使用權(quán)和能夠通過(guò)控制臺(tái)軟件的身份認(rèn)證的雙重的安全防護(hù)方法，來(lái)保證控制臺(tái)的安全管理，另外控制臺(tái)還提供了災(zāi)難恢復(fù)技術(shù)；代理進(jìn)程是隨著操作系統(tǒng)的啟動(dòng)代理進(jìn)程進(jìn)行正常的監(jiān)控狀態(tài)。同時(shí) ,具有防止代理進(jìn)程被意外地殺死或者終止。 2.系統(tǒng)實(shí)現(xiàn)的相關(guān)技術(shù) 鑒于本系統(tǒng)監(jiān)控端的需要，需要采用以下一些技術(shù)。WwW.11665.COm 程序隱藏，分偽隱藏和真隱藏。偽隱藏，在 win9x 的系統(tǒng)中把木馬服務(wù)器端的程序注冊(cè)為一個(gè)服務(wù)即可，在 win nt、 2000 中可使用api 的攔截技術(shù) ；真隱藏，就是這個(gè)程序完全的溶進(jìn)了系統(tǒng)的內(nèi)核。把它作為一個(gè)線程。 端口隱藏，有端口重用、反向連接和潛伏方式進(jìn)行通信等方法。在本系統(tǒng)中，采用了潛伏的方式，利用 ip 協(xié)議簇中的自定義協(xié)議來(lái)進(jìn)行網(wǎng)絡(luò)傳輸。 攔截系統(tǒng)調(diào)用技術(shù)，在 windows 系統(tǒng)中，修改系統(tǒng)調(diào)用表實(shí) 現(xiàn)指向本系統(tǒng)的監(jiān)控代碼。 二、系統(tǒng)實(shí)現(xiàn) 系統(tǒng)要防止代理進(jìn)程被意外地殺死或者終止，就要替換系統(tǒng) api調(diào)用的方式，使之調(diào)用自己定義的 api 函數(shù)，進(jìn)行安全性的檢查。因此要將操作系統(tǒng)的所有用戶態(tài)進(jìn)程相應(yīng)的 api 進(jìn)行替換，實(shí)現(xiàn)對(duì)操作系統(tǒng)的行為監(jiān)控。 explorer.exe進(jìn)程是所有的用戶態(tài)進(jìn)程的父進(jìn)程，在操作系統(tǒng)進(jìn)入用戶桌面環(huán)境的時(shí)候， explorer.exe 被創(chuàng)建，所有的用戶態(tài)的進(jìn)程都是由 explorer.exe 進(jìn)程創(chuàng)建的。將 explorer.exe的相關(guān) api 替換以后，其中替換了進(jìn)程創(chuàng)建的相關(guān) api，包括kernel32.dll 中的 createprocessa、 createprocessw、 winexec 和advapi32.dll 中的 createprocessasusera、 createprocessasuserw、createprocesswithlogonw，所以當(dāng) explorer.exe 創(chuàng)建新進(jìn)程，能夠得到這種消息，然后再將新進(jìn)程的相關(guān) api 進(jìn)程替換，那么也就能夠監(jiān)控新進(jìn)程的行為。 系統(tǒng)的 api 是按照動(dòng)態(tài)鏈接庫(kù)的方式存放的。如同系統(tǒng) api 的存儲(chǔ)方式 ,將自己定義的 api也存儲(chǔ)在動(dòng)態(tài)鏈接庫(kù) dll中 ,將 dll插入到要監(jiān)控的進(jìn)程中。動(dòng)態(tài)鏈接庫(kù) dll 有一個(gè)初始化的過(guò)程 ,在此過(guò)程中 ,進(jìn)行系統(tǒng) api 的替換，從而實(shí)現(xiàn)對(duì)相應(yīng)進(jìn)程的行為監(jiān)控。 遠(yuǎn)程線程插入 dll， windows 的大多數(shù)函數(shù)允許進(jìn)程只對(duì)自己進(jìn)行操作，它能夠防止一個(gè)進(jìn)程破壞另一個(gè)進(jìn)程的運(yùn)作。但是，有些最初是為調(diào)試程序和其他工具設(shè)計(jì)的函數(shù)卻允許一個(gè)進(jìn)程對(duì)另一個(gè)進(jìn)程進(jìn)行操作。即一個(gè)稱(chēng)為 createremotethread 的函數(shù)，使我們能夠非常容易地在另一個(gè)進(jìn)程中創(chuàng)建線程。 這個(gè) dll 插入方法基本上要求目標(biāo)進(jìn)程中的線程調(diào)用loadlibrary 函數(shù)來(lái)夾帶必要的 dll。由于除了自 己進(jìn)程中的線程外，無(wú)法方便地控制其它進(jìn)程中的線程，因此這種解決方案要求在目標(biāo)進(jìn)程中創(chuàng)建一個(gè)能夠控制它執(zhí)行什么代碼新線程。 三、行為監(jiān)控效率 由于操作系統(tǒng)會(huì)對(duì)需要監(jiān)控的系統(tǒng) api 進(jìn)行大量的調(diào)用，為提高系統(tǒng)的響應(yīng)速度。采用了兩個(gè)措施來(lái)提供系統(tǒng)的效率：安全策略文件的訪問(wèn)速度和規(guī)則的匹配速度。 在策略檢查的時(shí)候，如果采用正常的文件讀寫(xiě)方法，需要頻繁的打開(kāi)關(guān)閉文件，頻繁的讀寫(xiě)文件，導(dǎo)致系統(tǒng)的效率低。本系統(tǒng)采用內(nèi)存文件映射方法 ,即使應(yīng)用程序通過(guò)內(nèi)存指針對(duì)磁盤(pán)上的文件進(jìn)行訪問(wèn)，其過(guò)程就如同對(duì) 加載了文件的內(nèi)存的訪問(wèn)。在使用內(nèi)存映射文件進(jìn)行 i/o 處理時(shí)，系統(tǒng)對(duì)數(shù)據(jù)的傳輸按頁(yè)面來(lái)進(jìn)行。至于內(nèi)部的所有內(nèi)存頁(yè)面則是由虛擬內(nèi)存管理器來(lái)負(fù)責(zé)管理，由于虛擬內(nèi)存管理器是以一種統(tǒng)一的方法來(lái)處理所有磁盤(pán) i/o 的，因此這種優(yōu)化使其有能力以足夠快的速度來(lái)處理內(nèi)存操作。 規(guī)則的匹配速度。安全策略規(guī)則不是無(wú)序的排列，而是按照監(jiān)控對(duì)象所在的磁盤(pán)驅(qū)動(dòng)器進(jìn)行分類(lèi)，按照字母順序有序的排列。在安全策略檢查的時(shí)候，已知的是監(jiān)控對(duì)象的名字，即文件或者文件夾的名字，根據(jù)這個(gè)名字，可以獲得監(jiān)控對(duì)象所在的磁盤(pán)驅(qū)動(dòng)器。可以通過(guò)磁盤(pán)驅(qū)動(dòng)器，根據(jù)策略文件相應(yīng)的位置索引，直接定位到該監(jiān)控對(duì)象所適用的策略范圍，大大降低了需要進(jìn)行規(guī)則匹配檢查的數(shù)量。 參考文獻(xiàn) : 1黃良斌 :透視木馬程序開(kāi)發(fā)技術(shù) j.浙江交通職業(yè)技術(shù)學(xué)院學(xué)報(bào)， 2004， 5（ 4）