基于内核驱动机制的文件安全审计系统关键技术研究

论文摘要

随着计算机网络技术的不断发展,企业信息化普及程度得到了很大提高。在企业内网中越来越多的电子文档保存在计算机中,并逐步取代传统纸质文档。这一改变在给人们工作带来便捷的同时,内网数据安全问题也变得日渐突出,如一些非法入侵者在获取用户权限后对敏感数据未授权访问,导致信息的泄露、窃取和破坏。如何在内网中建立有效的文件安全审计系统成为了众多企业的当务之急。目前国内外现有文件安全审计系统从实现角度来讲,大多数功能都是从应用层来实现的,在实际应用方面暴露了许多不足之处,如应用层加解密给用户在使用文档的过程中带来了诸多不便；文件解密过程中存放在硬盘上的明文易被非法进程访问,其安全性只能依靠单纯的密码学机制来保证,得不到操作系统内核机制的保护；基于应用层的文件实时监控会出现漏报现象以及文件异常审计准确度不高等问题。解决这些问题都需要对相关关键技术进行研究和改进,这也正是本文研究此课题的出发点。本文在深入研究和分析Windows NT文件系统内部运行机理和过滤驱动开发技术的基础上,提出了一种基于内核驱动机制的文件安全审计系统的实现思想。针对基于内核驱动机制的文件安全审计系统关键技术的研究,本文主要取得了如下成果：本文利用Windows文件系统过滤驱动开发技术实现对内网机密文件的透明加解密功能,并通过实验验证了该技术在数据加解密过程中透明、实时和高效性。在文件安全审计系统中使用该技术能有效地协调用户使用方便和数据安全性之间的矛盾。本文通过Windows文件系统过滤驱动层拦截发送到文件系统的I/O请求包来实现对敏感文件的实时监控,并通过实验验证了该方法在文件实时监控中具有较高的准确度和高效性。本文在文件实时监控基础上提出一种主机型可执行文件异常检测新方法。该方法首先对该类文件的结构属性和常规属性进行静态分析,然后对文件实时监控产生的操作日志进行审计来检测主机中异常可执行文件。通过实验验证该方法在识别异常可执行文件过程中有较高的准确率,能及时发现主机中异常可执行文件,起到一定的主动防御作用。

论文目录

摘要

Abstract

第1章绪论

1.1 课题研究背景及意义

1.2 课题研究内容及创新性

1.3 论文组织结构

第2章相关技术国内外研究现状

2.1 Windows内核驱动技术概述

2.1.1 Windows系统组件分析

2.1.2 Windows内核机制分析

2.1.3 文件系统驱动与过滤驱动

2.1.4 过滤驱动程序设计方法

2.2 文件透明加解密技术研究现状

2.3 文件实时监控技术研究现状

2.4 主机型PE文件异常检测技术研究现状

2.5 本章小结

第3章基于内核机制的文件透明加解密

3.1 引言

3.2 基于内核层的文件透明加解密方案设计

3.3 关键技术分析

3.3.1 文件加密标识的嵌入

3.3.2 文件打开预处理

3.3.3 Microsoft Office系列特殊文件处理

3.4 实验结果与分析

3.4.1 实验步骤

3.4.2 实验结果

3.4.3 实验对比分析

3.5 本章小结

第4章基于内核机制的文件实时监控

4.1 引言

4.2 基于内核层的文件实时监控方案设计

4.2.1 应用层模块设计方案

4.2.2 内核层模块设计方案

4.3 关键技术分析

4.3.1 内核层与应用层的通信

4.3.2 内核层IRP操作类型识别

4.4 实验结果与分析

4.4.1 实验步骤

4.4.2 实验结果

4.4.3 实验结果分析

4.5 本章小结

第5章基于文件属性与行为分析的主机型PE文件异常检测

5.1 引言

5.2 PE文件格式简析

5.3 PE文件异常检测总体技术方案

5.4 关键技术方案设计

5.4.1 文件结构属性解析

5.4.2 基于孤立点的文件常规属性异常检测

5.4.3 可疑文件行为监控与行为日志审计

5.5 实验结果与分析

5.5.1 实验步骤

5.5.2 实验结果

5.5.3 实验对比分析

5.6 本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢

基于内核驱动机制的文件安全审计系统关键技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢