局域網(wǎng)主機文件監(jiān)控系統(tǒng)的設計與實現(xiàn).pdf

1、隨著計算機網(wǎng)絡技術的飛速發(fā)展和企業(yè)對網(wǎng)絡技術應用的不斷增多，局域網(wǎng)內(nèi)部安全問題已成為人們越來越關注的一個問題，而局域網(wǎng)內(nèi)部安全問題的根本，是主機的文件及進程的安全問題。本文以局域網(wǎng)文件進程監(jiān)控系統(tǒng)為基礎，重點介紹了基于NT內(nèi)核的文件監(jiān)控系統(tǒng)的設計與實現(xiàn)問題。 主機的文件系統(tǒng)，一直是非法用戶操縱主機的一個重要途徑，因此對文件系統(tǒng)的監(jiān)控，是實現(xiàn)系統(tǒng)安全的一個有效手段。對文件系統(tǒng)的監(jiān)控可分為用戶態(tài)監(jiān)控和內(nèi)核態(tài)監(jiān)控兩種。用戶態(tài)的文件監(jiān)控

2、通常是通過鉤掛WindowsAPI函數(shù)方式實現(xiàn)，它實現(xiàn)容易，但效率低，易被繞過；內(nèi)核態(tài)的文件監(jiān)控通常采用文件過濾驅(qū)動技術實現(xiàn)，其實施難度大，但具有可移植性好、對用戶透明性高及效率高等優(yōu)點，能對文件系統(tǒng)實行有效的監(jiān)控。 文件過濾驅(qū)動技術就是在NT內(nèi)核態(tài)截獲I/O管理器向文件系統(tǒng)驅(qū)動路由的IRP，在IRP進入到文件系統(tǒng)驅(qū)動之前，執(zhí)行用戶自定義的例程，從而實現(xiàn)對文件系統(tǒng)添加各種新的擴展操作功能。本文建立自己的規(guī)則匹配模型，采用基于內(nèi)核