內(nèi)部網(wǎng)文件監(jiān)控審計系統(tǒng)的設(shè)計和實現(xiàn)的論文 內(nèi)部網(wǎng)文件監(jiān)控審計系統(tǒng)的設(shè)計和實現(xiàn)的論文 摘要 本文論述了內(nèi)部網(wǎng)文件監(jiān)控審計系統(tǒng)的設(shè)計和實現(xiàn)。在系統(tǒng)監(jiān)控端上，利用木馬的 “ 隱蔽性 ” ，實現(xiàn)了在 win2002 系統(tǒng)中的進(jìn)程隱藏和通信隱藏。在文件監(jiān)控上，論述了內(nèi)部網(wǎng)文件監(jiān)控審計系統(tǒng)對數(shù)據(jù)進(jìn)行全方位安全保護(hù)機制。 關(guān)鍵詞 文件監(jiān)控 木馬 網(wǎng)絡(luò)安全 p2dr 模型 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展 ,在關(guān)注外部網(wǎng)安全的同時，必須要加倍地重視內(nèi)部網(wǎng)的安全控制，內(nèi)部網(wǎng)安全已成為整體網(wǎng)絡(luò)安全的基石和出發(fā)點，而要想控制內(nèi)網(wǎng)則首選文件操作監(jiān)控技術(shù) ,本文通過分析這兩種常用技術(shù)的利蔽，最后實現(xiàn)本系統(tǒng)對內(nèi)網(wǎng)的安全管理的實現(xiàn)。 一、系統(tǒng)設(shè)計 內(nèi)部網(wǎng)文件監(jiān)控審計系統(tǒng) (nfams）是基于 windows 平臺的內(nèi)部網(wǎng)安全行為監(jiān)控審計系統(tǒng)，采用集中式管理、分布式控制結(jié)構(gòu)對網(wǎng)絡(luò)用戶操作行為監(jiān)控，并提供事后安全審計功能。 代理登錄控制臺：連接認(rèn)證控制臺模塊周期地向控制臺建立連接請求 ，并認(rèn)證控制臺身份，檢測到控制臺已經(jīng)啟動，則進(jìn)入代理生存心博模塊；處理控制臺：代理監(jiān)聽 tcp 網(wǎng)絡(luò)端口，等待控制臺的連接請求，并根據(jù)操作碼，進(jìn)入不同的命令處理模塊。 1.系統(tǒng)安全性設(shè)計 控制臺采用須獲得對控制臺軟件所在的主機的使用權(quán)和能夠通過控制臺軟件的身份認(rèn)證的雙重的安全防護(hù)方法，來保證控制臺的安全管理，另外控制臺還提供了災(zāi)難恢復(fù)技術(shù)；代理進(jìn)程是隨著操作系統(tǒng)的啟動代理進(jìn)程進(jìn)行正常的監(jiān)控狀態(tài)。同時 ,具有防止代理進(jìn)程被意外地殺死或者終止。 2.系統(tǒng)實現(xiàn)的相關(guān)技術(shù) 鑒于本系統(tǒng)監(jiān)控端的需要，需要采用以下一些技術(shù)。WwW.11665.COm 程序隱藏，分偽隱藏和真隱藏。偽隱藏，在 win9x 的系統(tǒng)中把木馬服務(wù)器端的程序注冊為一個服務(wù)即可，在 win nt、 2000 中可使用api 的攔截技術(shù) ；真隱藏，就是這個程序完全的溶進(jìn)了系統(tǒng)的內(nèi)核。把它作為一個線程。 端口隱藏，有端口重用、反向連接和潛伏方式進(jìn)行通信等方法。在本系統(tǒng)中，采用了潛伏的方式，利用 ip 協(xié)議簇中的自定義協(xié)議來進(jìn)行網(wǎng)絡(luò)傳輸。 攔截系統(tǒng)調(diào)用技術(shù)，在 windows 系統(tǒng)中，修改系統(tǒng)調(diào)用表實 現(xiàn)指向本系統(tǒng)的監(jiān)控代碼。 二、系統(tǒng)實現(xiàn) 系統(tǒng)要防止代理進(jìn)程被意外地殺死或者終止，就要替換系統(tǒng) api調(diào)用的方式，使之調(diào)用自己定義的 api 函數(shù)，進(jìn)行安全性的檢查。因此要將操作系統(tǒng)的所有用戶態(tài)進(jìn)程相應(yīng)的 api 進(jìn)行替換，實現(xiàn)對操作系統(tǒng)的行為監(jiān)控。 explorer.exe進(jìn)程是所有的用戶態(tài)進(jìn)程的父進(jìn)程，在操作系統(tǒng)進(jìn)入用戶桌面環(huán)境的時候， explorer.exe 被創(chuàng)建，所有的用戶態(tài)的進(jìn)程都是由 explorer.exe 進(jìn)程創(chuàng)建的。將 explorer.exe的相關(guān) api 替換以后，其中替換了進(jìn)程創(chuàng)建的相關(guān) api，包括kernel32.dll 中的 createprocessa、 createprocessw、 winexec 和advapi32.dll 中的 createprocessasusera、 createprocessasuserw、createprocesswithlogonw，所以當(dāng) explorer.exe 創(chuàng)建新進(jìn)程，能夠得到這種消息，然后再將新進(jìn)程的相關(guān) api 進(jìn)程替換，那么也就能夠監(jiān)控新進(jìn)程的行為。 系統(tǒng)的 api 是按照動態(tài)鏈接庫的方式存放的。如同系統(tǒng) api 的存儲方式 ,將自己定義的 api也存儲在動態(tài)鏈接庫 dll中 ,將 dll插入到要監(jiān)控的進(jìn)程中。動態(tài)鏈接庫 dll 有一個初始化的過程 ,在此過程中 ,進(jìn)行系統(tǒng) api 的替換，從而實現(xiàn)對相應(yīng)進(jìn)程的行為監(jiān)控。 遠(yuǎn)程線程插入 dll， windows 的大多數(shù)函數(shù)允許進(jìn)程只對自己進(jìn)行操作，它能夠防止一個進(jìn)程破壞另一個進(jìn)程的運作。但是，有些最初是為調(diào)試程序和其他工具設(shè)計的函數(shù)卻允許一個進(jìn)程對另一個進(jìn)程進(jìn)行操作。即一個稱為 createremotethread 的函數(shù)，使我們能夠非常容易地在另一個進(jìn)程中創(chuàng)建線程。 這個 dll 插入方法基本上要求目標(biāo)進(jìn)程中的線程調(diào)用loadlibrary 函數(shù)來夾帶必要的 dll。由于除了自 己進(jìn)程中的線程外，無法方便地控制其它進(jìn)程中的線程，因此這種解決方案要求在目標(biāo)進(jìn)程中創(chuàng)建一個能夠控制它執(zhí)行什么代碼新線程。 三、行為監(jiān)控效率 由于操作系統(tǒng)會對需要監(jiān)控的系統(tǒng) api 進(jìn)行大量的調(diào)用，為提高系統(tǒng)的響應(yīng)速度。采用了兩個措施來提供系統(tǒng)的效率：安全策略文件的訪問速度和規(guī)則的匹配速度。 在策略檢查的時候，如果采用正常的文件讀寫方法，需要頻繁的打開關(guān)閉文件，頻繁的讀寫文件，導(dǎo)致系統(tǒng)的效率低。本系統(tǒng)采用內(nèi)存文件映射方法 ,即使應(yīng)用程序通過內(nèi)存指針對磁盤上的文件進(jìn)行訪問，其過程就如同對 加載了文件的內(nèi)存的訪問。在使用內(nèi)存映射文件進(jìn)行 i/o 處理時，系統(tǒng)對數(shù)據(jù)的傳輸按頁面來進(jìn)行。至于內(nèi)部的所有內(nèi)存頁面則是由虛擬內(nèi)存管理器來負(fù)責(zé)管理，由于虛擬內(nèi)存管理器是以一種統(tǒng)一的方法來處理所有磁盤 i/o 的，因此這種優(yōu)化使其有能力以足夠快的速度來處理內(nèi)存操作。 規(guī)則的匹配速度。安全策略規(guī)則不是無序的排列，而是按照監(jiān)控對象所在的磁盤驅(qū)動器進(jìn)行分類，按照字母順序有序的排列。在安全策略檢查的時候，已知的是監(jiān)控對象的名字，即文件或者文件夾的名字，根據(jù)這個名字，可以獲得監(jiān)控對象所在的磁盤驅(qū)動器。可以通過磁盤驅(qū)動器，根據(jù)策略文件相應(yīng)的位置索引，直接定位到該監(jiān)控對象所適用的策略范圍，大大降低了需要進(jìn)行規(guī)則匹配檢查的數(shù)量。 參考文獻(xiàn) : 1黃良斌 :透視木馬程序開發(fā)技術(shù) j.浙江交通職業(yè)技術(shù)學(xué)院學(xué)報， 2004， 5（ 4）