90内网中网络通信行为监控系统的设计与实现

发布时间：2016-09-25 15:09

本文关键词：内网中网络通信行为监控系统的设计与实现，由笔耕文化传播整理发布。

西安电子科技大学；硕士学位论文；内网中网络通信行为监控系统的设计与实现；姓名：王志晓；申请学位级别：硕士；专业：计算机系统结构；指导教师：周利华；20080101；摘要；随着网络技术应用的不断深入，信息安全发展也进入到；论文详细地描述了网络通信行为监控系统在Ｗｉｎｄｏ；关键词：包过滤ＳＰＩＴＤＩＮＤＩＳＮｅｔｆｉｌｔ；Ａｂｓｔｒａｃｔ；Ａｌｏｎｇｗｉｔｈｔｈ

西安电子科技大学

硕士学位论文

内网中网络通信行为监控系统的设计与实现

姓名：王志晓

申请学位级别：硕士

专业：计算机系统结构

指导教师：周利华

20080101

摘要

随着网络技术应用的不断深入，信息安全发展也进入到一个全新的时代，传统的安全解决方案都是把目标重点放到边界上，往往忽略了内部网络安全，针对此问题论文作者所参与的项目组集体开发了内网行为监管审计系统，为办公网、内部业务网及涉密网提供信息安全保护。网络通信行为监控子系统作为该审计系统的重要组成部分，负责对网络应用和访问网络的应用程序按照安全策略进行监控。

论文详细地描述了网络通信行为监控系统在Ｗｉｎｄｏｗｓ２０００（／ＸＰ）与ＬｉｎｕｘＫｅｒｎｅｌ２．４平台下的设计与实现。按照Ｗｉｎｄｏｗｓ系统的网络体系结构及其网络组件的部署结构，提出了三层网络过滤模型：从用户态到内核模式，分别采用Ｗｉｎｓｏｃｋ２服务提供者接口（ＳＰＩ）、传输驱动接口（ＴＤＩ）、ＮＤＩＳ中间驱动（ＩＭＤ）这三种数据包过滤技术实现。克服了单方面从用户态或核心态过滤数据包的缺点，同时扩大了网络数据的管理范围、加深了过滤深度、提高了系统的安全性能。鉴于网络通信行为监控技术的发展趋势，本系统提出的独特的设计思想和先进的技术方案兼具研究和实用价值。

关键词：包过滤ＳＰＩＴＤＩＮＤＩＳＮｅｔｆｉｌｔｅｒ

Ａｂｓｔｒａｃｔ

ＡｌｏｎｇｗｉｔｈｔｈｅｏｆｉｎｆｏｒｍａｔｉｏｎｒａｐｉｄｐｒｅｖａｌｅｎｃｅｏｆｔｈｅＩｎｔｅｒａｃｔ，ｔｈｅｎｅｗａｇｅ

ａｓｅｃｕｒｉｔｙｉｓｆａｓｔｂｅｃｏｍｉｎｇｍａｔｔｅｒｏｆｗｈａｔｉｓｂｕｉｌｔｉｎｔｏｔｈｅｂｏｘｔｏｇｉｖｅａｐｐｒｏｖｅｄ

ｏｎＵＳｅｒＳａｃｃｅｓｓ．ｗｈｉｌｅｔｈｅｔｒａｄｉｔｉｏｎａｌｓｅｃｕｒｉｔｙｓｏｌｕｔｉｏｎｓｕｓｕａｌｌｙｆｏｃｕｓｅｄ

ｃｏｎｓｅｑｕｅｎｔｌｙｔｈｅｉｎｔｅｒｎａｌｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｉｓｏｆｔｅｎ

ｔｏｓｏｌｖｅｔｈｉｓｔｈｅｎｅｔｗｏｒｋｂｏｒｄｅｒ，ｕｎｄｅｒｅｓｔｉｍａｔｅｄｂｙｉｔｓａｄｍｉｎｉｓｔｒａｔｏｒｓ，ａｕｄｉｔｐｒｏｂｌｅｍ，ａｎａｄｖａｎｃｅｄｉｎｔｅｒｎａｌｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｓｙｓｔｅｍｉｓｄｅｖｅｌｏｐｅｄ．

ｂｅｈａｖｉｏｒＡｓｏｎｅｏｆｔｈｉｓｐｒｏｊｅｃｔ’Ｓｍｏｓｔｉｍｐｏｒｔａｎｔｓｕｂ－ｓｙｓｔｅｍ：ｎｅｔｗｏｒｋｃｏｍｍｕｎｉｃａｔｉｏｎ

ａｃｔｉｏｎｏｆｍｏｎｉｔｏｒｉｎｇｓｙｓｔｅｍ，ｗｈｉｃｈｉｓｄｅｖｉｓｅｄｔｏｂｅｒｅｓｐｏｎｓｉｂｌｅｆｏｒｍａｎｉｐｕｌａｔｉｎｇｔｈｅ

ｎｅｔｗｏｒｋ．ｒｅｌａｔｅｄ

Ｔｈｉｓｐａｐｅｒｔｈｅｓｅｃｕｒｉｔｙｓｔｒａｔｅｇｙ．ａｐｐｌｉｃａｔｉｏｎｓａｃｃｏｒｄｉｎｇｔｏｐｒｅｓｅｎｔｓａｌｌａｎａｌｙｓｉｓｏｆｖａｒｉｏｕｓｔｅｃｈｎｉｑｕｅｓｔｈａｔ

ｏｎｃａｉｌｂｅｕｓｅｄｔｏｆｉｌｔｅｒｎｅｔｗｏｒｋｄａｔａａｎｄｎｅｔｗｏｒｋｐａｃｋｅｔｓｂａｓｅｄＷｉｎｄｏｗｓ２０００（／ＸＰ）ｎｅｔｗｏｒｋ

Ｗｉｎｓｏｃｋ２ａｒｃｈｉｔｅｃｔｕｒｅ．ＵＳｅｒｍｏｄｅＦｕｒｔｈｅｒｍｏｒｅ，ｔｈｉｓｐａｐｅｒｐｒｏｐｏｓｅｓａｎａｌｔｅｒｎａｔｉｖｅｔｈｒｅｅ—ｌａｙｅｒｆｉｌｔｅｒｍｏｄｄ：ｆｒｏｍｄｏｗｎｔｏｋｅｒｎｅｌｍｏｄｅ，ｉｍｐｌｅｍｅｎｔｅｄｂｙ

ｄｒｉｖｅｒａｐｐｌｙｉｎｇＳＰＩ，ＴＤＩｆｉｌｔｅｒｄｒｉｖｅｒａｓｗｅｌｌａｓＮＤＩＳｉｎｔｅｒｍｅｄｉａｔｅｐａｃｋｅｔｆｉｌｔｅｒｉｎｇｔｅｃｈｎｏｌｏｇｙ．Ｗｈｉｃｈ

ｏｒｏｖｅｒｃａｍｅｔｈｅｓｈｏｒｔｃｏｍｉｎｇｄｕｒｉｎｇｃａｐｔｕｒｉｎｇｐａｃｋｅｔｉｎｋｅｒｎｅｌｍｏｄｅｕｓｅｒｍｏｄｅｏｎｌｙ，ｅｎｌａｒｇｅｄｔｈｅ

ａｍａｎａｇｅｍｅｎｔｒａｎｇｅｏｆｎｅｔｗｏｒｋｄａｔａ，ｉｍｐｒｏｖｅｄｓｙｓｔｅｍｓｅｃｕｒｉｔｙｇｒｅａｔｌｙ．Ｔｏｇｏｓｔｅｐ

ｏｎｆｕｒｔｈｅｒ，ｔｈｉｓｐａｐｅｒａｌｓｏｄｉｓｃｕｓｓｅｓｔｈｅｄｅｖｅｌｏｐｍｅｎｔｐｒｏｃｅｓｓｏｆｐａｃｋｅｔｆｉｌｔｅｒｉｎｇ

Ｌｉｎｕｘ２．４ｐｌａｔｆｏｒｍ．Ｉｎｓｈｏｒｔ，ｔｈｅｒｅｓｕｌｔｓｉｎｄｉｃａｔｅｔｈａｔｔｈｉｓｎｅｔｗｏｒｋ

ｂｅｈａｖｉｏｒｍｏｎｉｔｏｒｉｎｇ

ｖａｌｕｅ．

ＴＤＩＮＤＩＳＮｅｔｆｉｌｔｅｒｓｙｓｔｅｍｃｏｍｍｕｎｉｃａｔｉｏｎａｎｄｒｅｓｅａｒｃｈｓｙｓｔｅｍｐｅｒｆｏｒｍｓｗｅｌｌａｎｄｉｔｈａｓｂｏｔｈｐｒａｃｔｉｃａｌｖａｌｕｅＫｅｙｗｏｒｄ：ＰａｃｋｅｔＦｉｌｔｅｒｉｎｇＳＰＩ

创新性ｌ声明

本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，Ｆ．Ｙ，Ｔ文中特别加以标注和致谢中所罗歹０的内ｇ－ｇ＃ｌ，，论文中不包含其他人已经发表或撰写过的研究成果：也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中做了明确的说明并表示了谢意。

申请学位论文与资料若有不实之处，本人承担一切相关责任。

本人签名：王墨：亟同期兰！圣：叁鱼

关于论文使用授权的说明

本入完全了解西安电子科技大学有关保留和使用学位论文的规定，甚｛］：研究生在校攻读学位期间论文工作的知识产权单位餍西安电子科技大学。本人保证毕业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学ｃ学校有权保留送交论文的复印件．允许查阅和借闻论文：学校可以公布论文的全部或部分内容，，可以免许采用影印、缩印或其它复制手段保存论文。（保密的论文在解密后遵守此规定）

本学位论文属于保密在一年解密后适用本授权书。

本人签名：至查：垫

导师签名：ＦＩ期垄§：５：签

第一章绪论

随着Ｉｎｔｅｍｅｔ技术的发展，越来越显示出计算机网络在社会信息化中的巨大作用，已经成为２１世纪知识经济社会运行的必要条件和基础设施。由于网络系统的开放性，以及现有网络协议和软件系统固有的安全缺陷，使任何一种网络系统都不可避免地，或多或少地存在着一定的安全隐患和风险。传统的安全解决方案都是把目标重点放到边界上，往往忽略了内部网络安全，特别在政府机关、保密部门、科研机构、银行与证券、企事业等单位的办公网、内部业务网、涉密网中的终端设备安全管理非常薄弱，存在很大安全隐患。现有的安全措施没有发挥应有的作用，网络管理人员无法了解每个网络端点的安全状况，疲于奔命也无法解决各种终端安全与管理问题。尽管有些单位制订严格的安全管理制度，但是由于缺乏有效的技术手段，安全策略无法有效落实，导致机密信息泄露、黑客攻击、蠕虫病毒传播等安全事件频繁发生，对内网安全提出新的挑战。

１．１内网安全概述

防火墙是第一层安全防范手段，通常安装在网络入口处以阻止来自外部的攻击。入侵检测系统作为防火墙的有效补充，能有效检测出的内部攻击。但即使这样还不够，对内网安全要求较高的行业或部门，还需要解决内网信息泄密和敏感数据的安全保密问题。内部人员可以轻松地将计算机中的机密数据通过移动存储设备、打印设备或者网络泄漏出去，而不会留下痕迹。因此失泄密事件频频发生，机密文件、重要数据、设计图纸、配方、软件源代码等敏感信息通过不同的途径、方法和手段流失到敌对势力、竞争对手手中，给国家、政府、企业造成了重大损失。内网安全审计系统能够满足用户对内网安全的迫切需求，有效地检测和防御内部入侵行为，防止内网信息泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志，以便事后审计和追究泄密责任，从而成功实施内网的安全保密管理。本系统综合使用了操作系统核心技术、网络驱动技术、文件管理技术、加密通信技术，构造了一个逻辑上的内部网络安全域，对这个网络域所有计算机上的重要信息、网络资源进行安全管理。

尽管外网一如既往地受到恶意攻击并且需要监护防火墙和其他防御程序，然而由于越来越多的攻击是利用了公司或企业内部网的不安全设置或操作缺陷（包括技术和制度两方面）从而绕过其防火墙和防毒软件对内部进行破坏，因此对内

下载地址：90内网中网络通信行为监控系统的设计与实现_图文.Doc

　　【】