基于NDIS協(xié)議驅(qū)動程序的非法外聯(lián)監(jiān)控系統(tǒng)設計與實現(xiàn).pdf

1、隨著計算機網(wǎng)絡的迅猛發(fā)展,眾多的企業(yè)、組織、政府部門與機構(gòu)紛紛組建和發(fā)展自己的內(nèi)部網(wǎng)絡。為了保障內(nèi)部網(wǎng)絡安全,現(xiàn)有的做法是要么采用物理隔離的方式使內(nèi)網(wǎng)與外網(wǎng)隔離,要么由內(nèi)網(wǎng)通過有嚴格安檢措施的統(tǒng)一出口與外網(wǎng)連接。然而,少數(shù)內(nèi)部網(wǎng)絡成員通過各種各樣的途徑非法連接到外部網(wǎng)絡的情況時有發(fā)生,使在內(nèi)部網(wǎng)絡邊界上采取的保護措施失去作用,嚴重地影響了內(nèi)部網(wǎng)絡的安全。在分析了當前雙機架構(gòu)模式和C/S模式的非法外聯(lián)監(jiān)控系統(tǒng)的基礎上,本文設計和實現(xiàn)了一種

2、基于NDIS協(xié)議驅(qū)動程序的C/S模式非法外聯(lián)監(jiān)控系統(tǒng)。本文的主要工作如下:
　　設計了一種基于NDIS協(xié)議驅(qū)動程序的非法外聯(lián)監(jiān)控系統(tǒng)。在該系統(tǒng)中使用NDIS協(xié)議驅(qū)動程序監(jiān)視受控主機的網(wǎng)卡狀態(tài);引入半開掃描技術(shù),通過端口探測來判定活動的網(wǎng)卡是否非法外聯(lián)。該系統(tǒng)克服了雙機架構(gòu)模式非法外聯(lián)監(jiān)控系統(tǒng)中諸如不能監(jiān)控離線非法外聯(lián)和漏報率高等缺點,也彌補了傳統(tǒng)C/S模式非法外聯(lián)監(jiān)控系統(tǒng)只監(jiān)控特定途徑的非法外聯(lián)和誤報率高等缺陷。
　　針對用

3、戶強行關(guān)閉監(jiān)控代理后非法外聯(lián)的情況,提出使用LSP截獲用戶的Winso-ck調(diào)用,這些調(diào)用在監(jiān)控代理允許后方能放行,使用戶關(guān)閉監(jiān)控代理便立即處于斷開網(wǎng)絡連接的狀態(tài),迫使用戶接受本系統(tǒng)的監(jiān)控。LSP以動態(tài)連接庫的方式運行,作為網(wǎng)絡傳輸服務提供者存在系統(tǒng)中,不會被用戶發(fā)現(xiàn),也不會被殺毒軟件查殺,系統(tǒng)的自我保護能力得以增強。
　　針對存在未安裝監(jiān)控代理的主機非法接入內(nèi)部網(wǎng)絡的情況,設計LANM通信協(xié)議,提出一種基于該協(xié)議的競選算法,使得