基于Windows内核的服务器安全检测系统

简介:关于系统内核方面的论文题目、论文提纲、系统内核论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文。

目录

1. 1.Windows总体结构
2. 1.1 Windows体系架构
3. 1.2 Windows内核驱动
4. 2.系统设计与实现
5. 2.1设计准则
6. 2.2系统架构
7. 2.2.1系统结构
8. 2.2.2系统流程
9. 2.3系统功能
10. 2.3.1内核驱动模块
11. 2.3.2监控采集子系统
12. 2.3.3数据分析子系统
13. 3.系统运行分析
14. 3.1系统测试环境
15. 3.2系统性能分析
16. 5.总结
17. 系统内核是什么:「科技日报社」iOS 10系统内核故意未加密？华为调低论文范文量

张秋水,吴鸿伟

(1．厦门市美亚柏科信息股份有限公司,福建厦门36l008；2．厦门大学电子工程系,福建厦门361005)

摘 要：随着互联网技术的发展,尤其是云计算的兴起,服务器中存储的信息越来越多,而且也越来越重要,随之而来的安全问题也日益突出；因此,如何检测服务器存在的安全隐患是非常必要的.本系统在通过分析和研究服务器安全方面的技术与Windows内核驱动程序的基础上,设计并实现了基于Windows系统的服务器安全检测系统,该系统基于文件系统过滤驱动、SSDT Hook、TDI驱动及NDIS中间层驱动四种类型的驱动,对服务器中的文件系统、网络通信等进行全面的监控.这样检测更全面、准确率更高,也更容易检测出木马后门等程序.

关键词：服务器安全；Windows内核；驱动程序；监控采集；攻击

中图分类号：TP393.08 文献标识码：A

0引言

近年来,随着互联网技术的发展,尤其是云计算的兴起,服务器中存储的信息越来越多,而且也越来越重要.各种类型的服务器,如WEB服务器、DATA服务器、MAIL服务器、DNS服务器,支撑着大量的业务应用；然而伴随而来的安全问题也日益突出,如分布式拒绝服务攻击( DDOS),论文范文等.为防止服务器发生意外或受到意外攻击,而导致大量重要的数据丢失,服务器一般都会采用许多重要的安全保护技术来确保其安全.但在实施保护措施之前,首先需要对服务器安全进行强有力的检测,以发现系统存在的安全隐患

据IDC最新出炉的研究指出,微软Windows服务器在去年销售金额达177亿美元,超越Unix的175亿,Windows市场份额超过Unix,登上服务器操作系统龙头,在2009年第阴季度,Windows Server占据的市场份额为73.9%,Linux为21.2%.因此,针对采用Windows操作系统的服务器安全检测技术具有更大的意义.

本系统在通过分析和研究服务器安全方面的技术与Windows内核驱动程序的基础上,没计并实现了基于Windows系统的服务器安全检测系统.该系统基于文件系统过滤驱动、系统服务描述符表(System SerVJc:eh Descriptor Table,SSDT)Hook、网络传输层接口( Transport Driver Interface. TDI)驱动及网卡驱动接口标准(Network Driver IntPrface SpecifiCation．NDIS)中间层驱动四种类型的驱动,对服务器中的文件系统、网络通信等关键模块进行全面的监控、检测.与传统的特征检测方式不同,本系统采用行为检测的方式,这样准确率更高,也更容易检测伪装的论文范文等恶意程序,

1.Windows总体结构

1.1 Windows体系架构

Windows系统中,应用程序与系统程序本身是隔离的,系统程序代码运行在处理器的特权模式下（称为内核模式,Kernel Mode）．可以访问系统数据和硬件；应用程序代码运行在处理器的非特权模式下（称为用户模式,User Mode）,只有有限的一组接口可以使用,对系统数据的访问受到限制,只能通过系统程序通过服务的形式调用,并且无法直接访问硬件．如图1所示.

1.2 Windows内核驱动

以某种观点来看,Windows内核是由一个系统核心和多个驱动程序所组成的,这些驱动程序与系统中的硬件对应.驱动程序是一个软件,它提供连接到计算机的硬件的软件接口,在载入后成为内核的一部分,图2是Windows内核驱动程序的分类.

2.系统设计与实现

本系统采用多种技术方案,监控采集计算机中运行程序的各种信息,如文件操作信息、注册表操作信息、网络通信信息,通过对采集数据的分析,根据设定的行为规则库发现可疑信息,检测服务器的安全问题,给出安全系数以及提供相应的对策.

2.1设计准则

要设计一个实用的服务器安全检测系统,在保证安全性的同时还必须保证系统的运行效率和系统的易用性.安全性不高的系统容易被病毒程序破坏,并且也难以检测出各种变种的病毒程序.效率也是关键因素,耗时过长、占用CPU,内存过多,这样的检测系统是难以接受的.同样,非常难于使用的系统也不是成功的系统.

所以,整个系统的设计中需要遵循以下准侧：

1)安全性.主要考虑两个层次,一是内核模式的驱动程序保证不被其它恶意程序破坏；二是用户模式的规则库、子系统不被干扰.

2)高效率.系统的运行不能大量占用系统资源,尽量使用各种缓存机制,以确保不能有太多的性能损失.

3)灵活性.系统采用层次化的模块设计,内核驱动模块、与内核驱动模块的通信、用户模式的通用模块,均封装成独立的驱动程序以及动态链接库,这样整个系统具有很好的扩展性.

4)易用性.要以用户为中心,遵守三个原则,易见,易学和易用,使得用户第一眼就能找到自己最关注的功能操作和数据信息,不要过多的让用户去猜测各种隐含的信息,系统总是在合理的时间反馈给用户合理的信息,而不是让用户莫名等待,错误异常情况需要合适的提示.

5)稳定性.微软一直在为其操作系统的稳定性而努力,而内核驱动是影响其稳定性的最大因素.系统的不稳定将对系统的可用性造成极大的影响,因此在系统的设计过程中,要一直兼顾系统的稳定性.

2.2系统架构

2.2.1系统结构

系统采用层次化、模块化的结构设计,具体分为内核模式的文件系统驱动、SSDT Hook、TDI驱动以及NDIS中间层驱动,用户模式的监控采集子系统、数据分析子系统,整体结构如图3所示.

2.2.2系统流程

系统在开机时便开始启动监控,以确保获取更多的可疑信息.在登录系统后,可以通过用户模式的监控采集子系统及数据分析子系统进行更多的操作,整体工作流程如图4所示.

2.3系统功能

基于Windows内核驱动程序的服务器安全检测系统,可以在底层实施监控,以便深度挖掘隐藏的木马等攻击方法.安装在系统内核的四个驱动程序随着系统的启动而启动,这样可以在其它模块加载之前,就对系统的文件系统操作,网络通信数据进行全面的记录,并记录在指定的文件中；监控采集子系统提供灵活的采集策略,通过与内核驱动的通信,将数据记录到系统数据库中；数据分析子系统对数据库中保存的数据,按照规则库的检测项目,分析数据是否具有攻击特征.

2.3.1内核驱动模块

在本系统中,内核驱动模块分为四个独立的驱动程序,分别是文件系统驱动、SSDT Hook驱动、TDI驱动以及NDIS中间层驱动.它们在操作系统启动的时候,大部分其它模块未加载之前及系统未登录之前就开始加载运行,以确保在木马等攻击程序加载之前运行,采集默认的数据,并写入本系统定义的可疑数据库中.

文件系统驱动主要是用来监控对系统关键目录或用户指定目录的操作,如什么进程在何时对系统文件进行了查看、修改、删除等操作.

SSDT Hook驱动主要是通过Hook系统服务描述表中的某些服务函数地址,监控进程／线程模块信息、句柄信息,进程／线程动态信息如创建、终止；注册表操作信息,如创建、打开、删除、修改注册表键值项目：

TDI驱动是通过绑定内核中的三个主要的TDI设备,即,\Device\Tcp,\Device\Udp,\Device\Rawlp,它们分别对应TCP协议、UDP协议、原始IP包、监控网络中的通信数据包.在本系统中,主要是监控采集H论文范文P包、DNS包、FTP包等常见的协议数据包,并可以发现哪个进程的通信数据包.

NDIS中间层驱动是在Windows网络体系结构的更底层进行监控,防止某些木马等攻击程序通过底层的NDIS协议驱动,绕过TDI层直接进行通信.在本系统中,主要是利用其来监控网络通信中的TCP包、UDP包,具体协议的范围有H论文范文P、DNS、NBNS等,

2.3.2监控采集子系统

监控采集子系统工作在用户模式,与内核驱动模块进行通信.包括原始数据采集、系统状态数据采集、实时行为数据采集、实体行为数据采集、实体生理数据采集五个模块.既可以通过向内核驱动发送I/O控制命令,获取需要的内核数据；也可以在应用层采集所需要的数据,另外,通过对比内核层采集的数据和应用层采集的数据,找出具有木马行为的进程.采集的数据保存在本系统定义的可疑数据库中.

2.3.3数据分析子系统

数据分析子系统也工作在用户模式,它将内核驱动模块和监控采集子系统采集的可疑数据进行清洗、转换、加载,形成适合本子系统分析以及便于查看的数据立方体,并保存到关系数据库中.再结合规则库,深入挖掘些数据操作是不安全的行为,并找出引发该操作的进程等信息,形成分析报告,给出服务器安全系数.

3.系统运行分析

3.1系统测试环境

系统的测试环境具体情况见表l所示：

表1测试环境

3.2系统性能分析

本系统在运行过程中,可以详细的挖掘出各个进程对文件系统、注册表、网络等的操作数据,供管理员查看：如下图5所示,浏览器进程时对注册表的操作.

通过结合本系统定义的规则库,我们可以发现在操作系统中存在的木门等后门程序.

对比其它检测系统,本系统的一个特点是由于在Windows系统内核运行了覆盖面广的驱动,所以能检测出各种伪装的后门程序,提高了检测的全面性、准确性.

5.总结

由于Windows操作系统内核技术资料比较少,很多技术内幕不公开,因此,在Windows内核实现服务器安全检测的技术难度比较大.但另一方面,现在很多木马等后门程序也慢慢转向内核驱动层,普通的安全检测难以发现,所以在内核层检测又具有必要性.

本系统在实际的运行过程巾,还存在着一些不稳定的因素,并且对于目前正热门的Windows 7系统还暂时不支持.同时,服务器的安全不仅仅需要只检测,更需要防护和及时清除不安全因素.随着网络技术的发展,带宽越来越高,目前兴起的云计算更需要提供强有力的服务器安全检测防护技术.这些还需要进一步的大量研究工作.（责编 程斌）

参考文献：

【1】中文业界资讯站http://wvnv.cnbeta.com/articles/l05609.htm.2010.3

【2】Mark E.Russinovich, D论文范文id A.Solomon深入解析Windows操作系统,第4版[M]潘爱民译北京：电子工业出版社,2007

【3]谭文,杨潇Windows肉核安全编程[M]北京：电子工业出版社,20119

系统内核是什么:「科技日报社」iOS 10系统内核故意未加密？华为调低论文范文量

【4】宋志武．基于Windows内核驱动的加密文件系统 华中科技大学硕士论文,2007

【5】李万新Web日志数据挖掘在服务器安全方面的应用 中山大学学报论丛,2007

【6】王蕊．服务器的安全防护U]．科技资讯,2007,6．

总结：本论文可用于系统内核论文范文参考下载，系统内核相关论文写作参考研究。

系统内核是什么引用文献:

[1] 报价销售系统方面论文题目 报价销售系统论文题目如何取

[2] 最新财务分析系统论文选题参考 财务分析系统论文题目选什么比较好

[3] 财务系统论文题目范文 财务系统论文标题怎么定