局域網(wǎng)主機(jī)文件監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和企業(yè)對(duì)網(wǎng)絡(luò)技術(shù)應(yīng)用的不斷增多，局域網(wǎng)內(nèi)部安全問(wèn)題已成為人們?cè)絹?lái)越關(guān)注的一個(gè)問(wèn)題，而局域網(wǎng)內(nèi)部安全問(wèn)題的根本，是主機(jī)的文件及進(jìn)程的安全問(wèn)題。本文以局域網(wǎng)文件進(jìn)程監(jiān)控系統(tǒng)為基礎(chǔ)，重點(diǎn)介紹了基于NT內(nèi)核的文件監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)問(wèn)題。 主機(jī)的文件系統(tǒng)，一直是非法用戶(hù)操縱主機(jī)的一個(gè)重要途徑，因此對(duì)文件系統(tǒng)的監(jiān)控，是實(shí)現(xiàn)系統(tǒng)安全的一個(gè)有效手段。對(duì)文件系統(tǒng)的監(jiān)控可分為用戶(hù)態(tài)監(jiān)控和內(nèi)核態(tài)監(jiān)控兩種。用戶(hù)態(tài)的文件監(jiān)控

2、通常是通過(guò)鉤掛WindowsAPI函數(shù)方式實(shí)現(xiàn)，它實(shí)現(xiàn)容易，但效率低，易被繞過(guò)；內(nèi)核態(tài)的文件監(jiān)控通常采用文件過(guò)濾驅(qū)動(dòng)技術(shù)實(shí)現(xiàn)，其實(shí)施難度大，但具有可移植性好、對(duì)用戶(hù)透明性高及效率高等優(yōu)點(diǎn)，能對(duì)文件系統(tǒng)實(shí)行有效的監(jiān)控。 文件過(guò)濾驅(qū)動(dòng)技術(shù)就是在NT內(nèi)核態(tài)截獲I/O管理器向文件系統(tǒng)驅(qū)動(dòng)路由的IRP，在IRP進(jìn)入到文件系統(tǒng)驅(qū)動(dòng)之前，執(zhí)行用戶(hù)自定義的例程，從而實(shí)現(xiàn)對(duì)文件系統(tǒng)添加各種新的擴(kuò)展操作功能。本文建立自己的規(guī)則匹配模型，采用基于內(nèi)核