论文部分内容阅读
随着网络技术应用的普及,越来越多的企业、政府单位都在构建自己的内部网络,因此内部网安全越来越成为网络信息安全的焦点。内部网具有“半封闭性”的特点,外网主机是无法主动和内部网主机进行通信的,因此,发生在内部网中的安全事件是由内向外渗透的。因此对内部网主机的网络行为进行监管能够有效解决内部网安全问题,提高内部网的安全性。 现有的网络行为监控系统大多数是作为企业管理软件应用在内部网中,企业管理者通过监控系统来限制约束内部网人员的网络行为,但是,现有系统缺少对病毒木马程序的监控,或者监控力度不足。网络行为监控系统作为安全产品,必须对内部网使用者、病毒木马程序实行全面的监控,才能保证内部网的安全、避免安全事故的发生和信息的泄漏,对内部网使用者的监控主要是针对其网络应用的监控,对病毒/木马程序的监控主要就是针对木马行为的特点进行的监控。 本文根据当前网络行为监控技术和木马技术的发展现状,针对现有网络行为监控系统对病毒木马程序防范力度不足,提出了一种分布式网络行为监控系统。该系统采用集中式管理、分布式监控结构,系统由控制台中心和若干监控代理组成;控制台中心完成安全策略制定分发和日志审计等管理功能;监控代理采取三层过滤框架模型,分别从应用层、传输层、网络层,按照各层的安全策略对主机网络行为进行监控,监控的网络行为包括:Web访问、邮件收发、系统进程/用户进程访问网络请求等,具备防卸载、防病毒木马等功能,有效保证了内部网的安全。 本文的研究工作主要有以下几个方面: (1)研究分析了网络行为监控技术及木马技术的发展现状。 (2)研究了所涉及的相关技术,包括:Windows操作系统的网络体系结构、常用的数据包过滤技术、进程与远程线程的创建机制、程序的自启动技术以及防卸载技术等。 (3)提出并实现了一种分布式网络行为监控系统,对系统的框架设计、功能设计、通信协议、核心模块的实现原理和技术进行了详细的论述。 (4)对系统进行了测试和分析。 (5)最后对研究工作进行了总结和展望。