分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的普及，越來越多的企業(yè)、政府單位都在構(gòu)建自己的內(nèi)部網(wǎng)絡(luò)，因此內(nèi)部網(wǎng)安全越來越成為網(wǎng)絡(luò)信息安全的焦點(diǎn)。內(nèi)部網(wǎng)具有“半封閉性”的特點(diǎn)，外網(wǎng)主機(jī)是無法主動和內(nèi)部網(wǎng)主機(jī)進(jìn)行通信的，因此，發(fā)生在內(nèi)部網(wǎng)中的安全事件是由內(nèi)向外滲透的。因此對內(nèi)部網(wǎng)主機(jī)的網(wǎng)絡(luò)行為進(jìn)行監(jiān)管能夠有效解決內(nèi)部網(wǎng)安全問題，提高內(nèi)部網(wǎng)的安全性。 現(xiàn)有的網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)大多數(shù)是作為企業(yè)管理軟件應(yīng)用在內(nèi)部網(wǎng)中，企業(yè)管理者通過監(jiān)控系統(tǒng)來限制約束內(nèi)部網(wǎng)人員的網(wǎng)絡(luò)行

2、為，但是，現(xiàn)有系統(tǒng)缺少對病毒木馬程序的監(jiān)控，或者監(jiān)控力度不足。網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)作為安全產(chǎn)品，必須對內(nèi)部網(wǎng)使用者、病毒木馬程序?qū)嵭腥娴谋O(jiān)控，才能保證內(nèi)部網(wǎng)的安全、避免安全事故的發(fā)生和信息的泄漏，對內(nèi)部網(wǎng)使用者的監(jiān)控主要是針對其網(wǎng)絡(luò)應(yīng)用的監(jiān)控，對病毒/木馬程序的監(jiān)控主要就是針對木馬行為的特點(diǎn)進(jìn)行的監(jiān)控。 本文根據(jù)當(dāng)前網(wǎng)絡(luò)行為監(jiān)控技術(shù)和木馬技術(shù)的發(fā)展現(xiàn)狀，針對現(xiàn)有網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)對病毒木馬程序防范力度不足，提出了一種分布式網(wǎng)絡(luò)行為監(jiān)

3、控系統(tǒng)。該系統(tǒng)采用集中式管理、分布式監(jiān)控結(jié)構(gòu)，系統(tǒng)由控制臺中心和若干監(jiān)控代理組成；控制臺中心完成安全策略制定分發(fā)和日志審計(jì)等管理功能；監(jiān)控代理采取三層過濾框架模型，分別從應(yīng)用層、傳輸層、網(wǎng)絡(luò)層，按照各層的安全策略對主機(jī)網(wǎng)絡(luò)行為進(jìn)行監(jiān)控，監(jiān)控的網(wǎng)絡(luò)行為包括：Web訪問、郵件收發(fā)、系統(tǒng)進(jìn)程/用戶進(jìn)程訪問網(wǎng)絡(luò)請求等，具備防卸載、防病毒木馬等功能，有效保證了內(nèi)部網(wǎng)的安全。 本文的研究工作主要有以下幾個(gè)方面：(1)研究分析了網(wǎng)絡(luò)行為監(jiān)控技