基于NAC的內(nèi)網(wǎng)惡意程序防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、計(jì)算機(jī)科學(xué)的迅速發(fā)展和信息化時(shí)代的到來(lái)，內(nèi)網(wǎng)安全已經(jīng)成為制約科技發(fā)展和信息化建設(shè)的關(guān)鍵問(wèn)題。目前國(guó)內(nèi)外已經(jīng)有很多的安全軟件企圖解決這方面的問(wèn)題。但是由于存在著成本、速度及安全研究方面的不足，仍然不能很好地解決所面臨的問(wèn)題。我們迫切需要一個(gè)在構(gòu)架上和技術(shù)上都能很好地應(yīng)對(duì)目前的內(nèi)網(wǎng)環(huán)境，能在很大程度上解決我們所面臨的問(wèn)題的軟件。
　　基于NAC的內(nèi)網(wǎng)惡意程序防護(hù)系統(tǒng)是在目前NAC構(gòu)架下，充分利用它的網(wǎng)絡(luò)隔離功能，通過(guò)部署在各節(jié)點(diǎn)的安全

2、防護(hù)軟件擴(kuò)展了NAC的內(nèi)涵。在事前認(rèn)證、事中監(jiān)控、事后記錄的基礎(chǔ)上增加了發(fā)生安全事件后的保護(hù)功能。
　　目前很多流行的安全防護(hù)技術(shù)都是基于分析API調(diào)用序列來(lái)分析程序動(dòng)態(tài)的，以便實(shí)時(shí)掌握進(jìn)程動(dòng)態(tài)把威脅控制在惡意行動(dòng)的初始階段。但是目前的分析技術(shù)都集中在對(duì)正常調(diào)用序列窮舉之后對(duì)異常序列的對(duì)比，或者以某種算法(如MCM)提取關(guān)鍵序列片段以求在不降低有效防護(hù)時(shí)減少工作量。但是這種方法在操作又會(huì)遇到很大的麻煩，那就是正常序列差不多是無(wú)窮的

3、，對(duì)他的窮舉基本上是不可能的。再則，由于正常序列的數(shù)量巨大，在比對(duì)時(shí)非常耗時(shí)，影響判斷速度，制約軟件性能。所以本文以函數(shù)調(diào)用源替代正常調(diào)用序列，以確認(rèn)調(diào)用源替代調(diào)用序列對(duì)比的改進(jìn)，在有限個(gè)模塊的情況下很好的解決了這個(gè)問(wèn)題。
　　在內(nèi)網(wǎng)安全的防護(hù)中，對(duì)網(wǎng)絡(luò)流量的監(jiān)控是很容易想到的辦法，但是如果對(duì)流經(jīng)網(wǎng)絡(luò)中的數(shù)據(jù)在進(jìn)程中就進(jìn)行完整性進(jìn)行驗(yàn)證，對(duì)保護(hù)內(nèi)網(wǎng)數(shù)據(jù)的安全性是有很大意義的。本文論述的流量控制針對(duì)流量特征的進(jìn)程的數(shù)據(jù)安全進(jìn)行研究的

4、，通過(guò)在NDIS層串入流量控制器，對(duì)在應(yīng)用程序預(yù)設(shè)的數(shù)據(jù)量和截獲的數(shù)據(jù)量對(duì)比驗(yàn)證數(shù)據(jù)完整性。以這種方式防止關(guān)鍵數(shù)據(jù)流出或者當(dāng)當(dāng)前進(jìn)程被劫持時(shí)阻斷數(shù)據(jù)發(fā)送，防止本機(jī)中的關(guān)鍵信息被以合法的手段非法的發(fā)送出去，使內(nèi)網(wǎng)具有在安全事件發(fā)生后基本防護(hù)能力，而不是象以往的安全系統(tǒng)一樣一旦系統(tǒng)被攻陷本機(jī)信息就完全對(duì)外公開(kāi)。在本文中的流量控制與傳統(tǒng)的流量控制是有區(qū)別的，本文所指的流量控制并不是控制網(wǎng)絡(luò)數(shù)據(jù)在通信鏈上的發(fā)送率，而是對(duì)與網(wǎng)絡(luò)相關(guān)的進(jìn)程所發(fā)送的