当前位置:问答库>论文摘要

题目:服务器内存动态安全监测系统的设计与实现

关键词:内核对象、安全、Hook、信息系统

  摘要



受经济利益的驱动,针对政府、大型企业、重要信息行业服务器的病毒传播和攻击越来越多。但是,传统的服务器安全管理大多数采用人工管理的方式,但该方式存在着诸如浪费人力的缺点,当系统规模增大时需要更多的人力进行维护。此外,传统的服务器安全管理往往采用第三方杀毒软件,其杀毒、检测、监测原理机制对用户是完全不透明的,用户不能保证第三方杀毒软件中是否内嵌有其他监听软件,这对重要的信息系统的高度安全留下了隐患。最后,当前主流的杀毒软件,通常采用基于病毒特征码和基于行为的查杀技术,只能针对已知病毒或特殊行为特征的病毒进行查杀,对于未知病毒或处于潜伏状态的病毒无能为力。

本论文主要以内存分析、RootKit监测等技术作为技术支撑,从分析系统内核对象为基础,在进程、线程、系统调用级别上细粒度的监测系统运行的状态,监测系统内存中的异常操作,分析它们的作用机制。对传统的服务器安全监测方式做如下几点改善:

1)   为系统管理员提供自动化的服务端安全监测工具;

2)   完全自主研发,提供完全透明的监测机制,系统管理员可以定制监测名单;

3)   采用基于内核对象的监测技术,保证及时发现病毒;

4)   实时监测进程、内存、CPU、文件系统、注册表、通信端口的变化并以日志形式进行保存。

此外,本文在RootKit监测的实现过程中,重点研究了基于Windows关键内核对象的Hook监测方法,对现有的监测技术进行分析,分析其优缺点,并最终提出自己的监测方法。本文提出的监测方法通过对中断描述符表、系统服务描述符表、PE文件、驱动函数表这四个内核对象进程监测。

本课题最终形成的监测系统为单机版监测工具,现在已经安装至证券信息服务器中,并已稳定运行达三个月。