文档介绍：西北工业大学
硕士学位论文
分布式网络行为监控系统的设计与实现
姓名:刘海宝
申请学位级别:硕士
专业:计算机应用技术
指导教师:蔡皖东
20060301
摘要随着网络技术应用的普及,越来越多的企业、政府单位都在构建自己的内部网络,因此内部网安全越来越成为网络信息安全的焦点。内部网具有“半封闭性”的特点,外网主机是无法主动和内部网主机进行通信的,因此,发生在内部网中的安全事件是由内向外渗透的。因此对内部网主机的网络行为进行监管能够有效解决内部网安全问题,提高内部网的安全性。现有的网络行为监控系统大多数是作为企业管理软件应用在内部网中,企业管理者通过监控系统来限制约束内部网人员的网络行为,但是,现有系统缺少对病毒木马程序的监控,或者监控力度不足。网络行为监控系统作为安全产品,必须对内部网使用者、病毒木马程序实行全面的监控,才能保证内部网的安全、避免安全事故的发生和信息的泄漏,对内部网使用者的监控主要是针对其网络应用的监控,对病毒/木马程序的监控主要就是针对木马行为的特点进行的监控。本文根据当前网络行为监控技术和木马技术的发展现状,针对现有网络行为监控系统对病毒木马程序防范力度不足,提出了一种分布式网络行为璐控系统。该系统采用集中式管理、分布式监控结构,系统由控制台中心和若干监控代理组成;控制台中心完成安全策略制定分发和日志审计等管理功能;监控代理采取三层过滤框架模型,分别从应用层、传输层、网络层,按照各层的安全策略对主机网络行为进行监控,监控的网络行为包括:梦省⒂始辗ⅰ⑾低辰蹋没进程访问网络请求等,具备防卸载、防病毒木马等功能,有效保证了内部网的安全。本文的研究工作主要有以下几个方面:芯糠治隽送缧形<嗫丶际跫澳韭砑际醯姆⒄瓜肿础芯苛怂婕暗南喙丶际酰ǎ篧操作系统的网络体系结构、常用的数据包过滤技术、进程与远程线程的创建机制、程序的自启动技术以及防卸载技术等。岢霾⑹迪至艘恢址植际酵缧形<嗫叵低常韵低车目蚣苌杓啤⒐δ设计、通信协议、核心模块的实现原理和技术进行了详细的论述。韵低辰辛瞬馐院头治觥詈蠖匝芯抗ぷ鹘辛俗芙岷驼雇关键字:网络行为,数据包过滤技术,分布式监控,三层过滤西北工业人学硕一畚
.,—西北荡笱妒柯畚,甌””,瑃疭疭,疭甌;瑃.,,.:.
第一章绪论网络行为监控技术发展现状网络行为概述用层代理”方式和“基于状态检测”方式三代的变迁,但总体上来说防火墙还是网络行为⋯是指与现实社会中人们的社会行为相对应的网络社会中的行为。它是伴随着现代网络科学技术出现的,我们可以把它定义为:行为主体为实现某种特定的目标,采用计算机网络作为行为对象和行为载体而进行的有意识的活动,它并不是虚拟的,而是具有社会行为的一般特征和基本要素,是实实在在的行为。网络行为与社会行为在很多方面有着类似的方面,存在着规范的网络行为和失范的网络行为,但是网络是虚拟的,它缺乏一套严格的体系制度去保证行为的规范性。失范的网络行为包括:网络入侵、网络欺骗、网络垃圾、网络犯罪、网络破坏等等。这些失范的网络行为同样会对社会、企业、个人带来非常严重的损失,大到国家的金融贸易、企业商业机密泄漏、小到个人隐私曝光。失范的网络行为的是如何造成的呢紫龋缬捎谖锢砩系纳⒙洌鄙偻一的管理,自身的安全性不高;其次,操作系统存在着可以被用来攻击的漏洞,存在着潜在的安全威胁;再次,失范行为的发起者能够利用以上因素,进行有目的行为活动;最后,受害者缺乏足够的安全意识。失范的网络行为带来的负面影响已经到了不得不重视的地步。人们在享用网络技术带来便利快捷的同时,也越来越重视网络安全的问题,并利用各种安全技术手段去防范失范的网络行为。防火墙是实现网络信息安全最重要的技术之一,其主要功能就是控制对受保护的网络进行非法访问。虽然防火墙已经历了“基于包过滤”方式、“基于应一种被动的防护,而且防火墙难以防范来自网络内部的攻击,其安全控制只能作用于外对内或内对外,对外可屏蔽内部网的拓扑结构,封锁外部网上的用户连接内部网上的重要站点或某些端口,对内可屏蔽外部危险站点,但它很难解决网络内部人员的安全问题。另外防火墙难以管理和配置,易造成安全漏洞。一般来说,由多个系统酚善鳌⒐似鳌⒋矸衿鳌⑼亍⒈だ葜骰组成的防火墙,西北工业大学硕士论文绪论
入侵检测系统具有监视分析用户和系统的行为、审计系统配置和漏洞、评估现,入侵检测技术也逐渐暴露出其不足,入侵检测系统不能很好地检测所有的数管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明,%的入侵发生在有防火墙的情况下。最后,防火墙只实现了粗粒度的访问控制,且一般不能与网络内部使用的其它安全机制绶梦士刂集成使用““⋯。敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。但由于网络新技术