基于IOCP和規(guī)則分析的監(jiān)控系統(tǒng)服務器實現(xiàn)機制研究.pdf

1、隨著網(wǎng)絡攻擊技術的不斷發(fā)展，傳統(tǒng)的安全防護手段已經(jīng)無法有效地保護系統(tǒng)安全，而主機入侵防護系統(tǒng)(HIPS)由于良好的工作機制越來越受到重視。HIPS是近年來新出現(xiàn)的主機防護手段，通過加載與事先定義的安全策略相一致的規(guī)則文件，監(jiān)視被保護計算機的所有輸入和輸出以及程序的行為等，以求找出攻擊的蛛絲馬跡并有效地阻止它們。本文研究的主要內容是結合作者在―一機多網(wǎng)‖項目實踐中的工作，針對HIPS系統(tǒng)中規(guī)則制定困難的缺陷，提出了一種基于C/S架構的局域

2、網(wǎng)內實時監(jiān)控系統(tǒng)——HGMS(Host Guard Monitoring System)系統(tǒng)。該系統(tǒng)基于HIPS工作原理，主要功能是由服務器端應用程序實現(xiàn)對客戶端主機的遠程監(jiān)控和管理?？蛻舳顺绦蜃鳛橐环N常駐內存的進程運行在各客戶端主機上，客戶端模塊實現(xiàn)對被控計算機的監(jiān)控、信息的獲取和自身進程的保護，并負責將被控計算機上的各種信息和狀態(tài)發(fā)送給服務器，同時對服務器端發(fā)送的命令進行響應；服務器端應用程序主要負責監(jiān)聽網(wǎng)絡內客戶端的請求、對網(wǎng)絡通

3、信的處理和對數(shù)據(jù)庫的操作，同時身兼管理功能，包括客戶端監(jiān)控規(guī)則的制定和分發(fā)、從數(shù)據(jù)庫獲取數(shù)據(jù)進行顯示、對被控端主機的監(jiān)控和操作等。在此基礎上，本文重點探究了服務器端應用程序在開發(fā)過程中的兩大重要實現(xiàn)機制：1、服務器端監(jiān)控規(guī)則集的制定和沖突檢測技術研究；2、服務器端與多個客戶端之間的并發(fā)通信及通信安全問題。一方面，由于規(guī)則是在服務器端應用程序統(tǒng)一制定和分發(fā)的，針對如何在服務器端保證規(guī)則的有效性和一致性問題，本文深入研究了現(xiàn)有安全系統(tǒng)所應用

4、的規(guī)則分析技術，重點分析了通用規(guī)則配對沖突、比特向量規(guī)則沖突和基于策略樹規(guī)則沖突檢測方法的原理，然后結合HGMS系統(tǒng)規(guī)則定義的特殊性和復雜性，將比特向量的分析方法融合到策略樹沖突檢測方法中并結合分類的思想加以改進，給出了一個適用于HGMS系統(tǒng)規(guī)則的沖突檢測方法，理論分析表明該方法能夠有效地檢測監(jiān)控系統(tǒng)的規(guī)則沖突，保證規(guī)則的一致性和有效性，提高了系統(tǒng)的安全性，具有新意，同時也指出了該方法的局限性和不足之處，明確了進一步工作的方向。另一方面

5、，要實現(xiàn)服務器端應用程序支持海量客戶端的請求和數(shù)據(jù)通信，本文通過對Windows網(wǎng)絡模型的分析，提出了一種基于完成端口(IOCP)的通信模塊設計方法，用以解決客戶端連接量巨大、小容量數(shù)據(jù)包頻繁收發(fā)等問題。該模型的核心思想是：將所有客戶端的請求都投遞到一個消息隊列中，利用事先創(chuàng)建好的若干個線程逐一從消息隊列中取出消息并加以處理。這樣減少了線程資源，大大提高了系統(tǒng)資源的利用率。本文通過介紹完成端口的機制及相關概念，討論分析了其中的關鍵問題并