基于NAC的內(nèi)網(wǎng)惡意程序防護系統(tǒng)設(shè)計與實現(xiàn).pdf

1、計算機科學的迅速發(fā)展和信息化時代的到來，內(nèi)網(wǎng)安全已經(jīng)成為制約科技發(fā)展和信息化建設(shè)的關(guān)鍵問題。目前國內(nèi)外已經(jīng)有很多的安全軟件企圖解決這方面的問題。但是由于存在著成本、速度及安全研究方面的不足，仍然不能很好地解決所面臨的問題。我們迫切需要一個在構(gòu)架上和技術(shù)上都能很好地應對目前的內(nèi)網(wǎng)環(huán)境，能在很大程度上解決我們所面臨的問題的軟件。
　　基于NAC的內(nèi)網(wǎng)惡意程序防護系統(tǒng)是在目前NAC構(gòu)架下，充分利用它的網(wǎng)絡隔離功能，通過部署在各節(jié)點的安全

2、防護軟件擴展了NAC的內(nèi)涵。在事前認證、事中監(jiān)控、事后記錄的基礎(chǔ)上增加了發(fā)生安全事件后的保護功能。
　　目前很多流行的安全防護技術(shù)都是基于分析API調(diào)用序列來分析程序動態(tài)的，以便實時掌握進程動態(tài)把威脅控制在惡意行動的初始階段。但是目前的分析技術(shù)都集中在對正常調(diào)用序列窮舉之后對異常序列的對比，或者以某種算法(如MCM)提取關(guān)鍵序列片段以求在不降低有效防護時減少工作量。但是這種方法在操作又會遇到很大的麻煩，那就是正常序列差不多是無窮的

3、，對他的窮舉基本上是不可能的。再則，由于正常序列的數(shù)量巨大，在比對時非常耗時，影響判斷速度，制約軟件性能。所以本文以函數(shù)調(diào)用源替代正常調(diào)用序列，以確認調(diào)用源替代調(diào)用序列對比的改進，在有限個模塊的情況下很好的解決了這個問題。
　　在內(nèi)網(wǎng)安全的防護中，對網(wǎng)絡流量的監(jiān)控是很容易想到的辦法，但是如果對流經(jīng)網(wǎng)絡中的數(shù)據(jù)在進程中就進行完整性進行驗證，對保護內(nèi)網(wǎng)數(shù)據(jù)的安全性是有很大意義的。本文論述的流量控制針對流量特征的進程的數(shù)據(jù)安全進行研究的

4、，通過在NDIS層串入流量控制器，對在應用程序預設(shè)的數(shù)據(jù)量和截獲的數(shù)據(jù)量對比驗證數(shù)據(jù)完整性。以這種方式防止關(guān)鍵數(shù)據(jù)流出或者當當前進程被劫持時阻斷數(shù)據(jù)發(fā)送，防止本機中的關(guān)鍵信息被以合法的手段非法的發(fā)送出去，使內(nèi)網(wǎng)具有在安全事件發(fā)生后基本防護能力，而不是象以往的安全系統(tǒng)一樣一旦系統(tǒng)被攻陷本機信息就完全對外公開。在本文中的流量控制與傳統(tǒng)的流量控制是有區(qū)別的，本文所指的流量控制并不是控制網(wǎng)絡數(shù)據(jù)在通信鏈上的發(fā)送率，而是對與網(wǎng)絡相關(guān)的進程所發(fā)送的