校园内网安全审计系统设计和实现.docVIP

校园内网安全审计系统设计和实现 　　[摘要]网络安全是信息社会发展的重要保证，在校园网络中，很多学生由于好奇盗用网络资源，登陆非法网站，以致垃圾邮件、网络病毒在校内传播，甚至还有学生攻击学校重要部门的计算机等，这些都对校园网的安全运行提出严峻的考验。对校园内网安全审计系统的关键功能的实现进行讨论，采用API钩子和GINA等技术实现Windows下的审计数据获取。 　　[关键词]校园内网 数据 安全审计 　　中图分类号：TP3文献标识码：A 文章编号：1671－7597(2008)0820111－01 　　 　　针对当前内网安全受到的严重威胁，防火墙和入侵检测等安全产品都是基于网络层的安全监控，通常是用来防止外面的网络入侵，但是缺乏对于网络内部的用户应用行为的监控，也就是缺乏对于应用层面的审计，在内网安全控制上显得非常无力[1]。因此构建一个内网安全审计系统越来越显得必要。在这种情况下，针对内网的安全审计系统应运而生。安全审计作为系统其它安全防范及侵害抵制措施的有力补充，检测并调查那些试图或已突破系统安全屏障的非法事件，为系统安全服务[2]。安全审计系统作为一个完整安全框架中的一个必要环节，一般处在入侵检测系统之后，作为对防火墙系统和入侵检测系统的一个补充。 　　 　　一、校园内网安全审计系统实现框架 　　 　　校园内网安全审计系统采用了分布式的体系结构，把审计数据存储管理模块(或称为审计数据存储中心)、审计数据浏览模块、审计数据分析模块和安全告警模块部署在服务器端，整个内网只需部署一套，而把审计数据采集模块和自动响应模块部署在内网的每台主机上，并相对独立地完成工作[3]。限于篇幅，本文对内网安全审计最为关键的数据采集模块进行了设计与实现。 　　 　　二、校园内网安全审计中数据采集模块的实现 　　 　　采集模块是分布在要监控的各个节点上，负责采集审计数据，过滤数据，并组织成规定的格式。 　　（一）校园内网安全审计中用户登录行为审计的实现 　　NT内核的windows操作系统(包括windows NT, windows 2000和windows XP)支持交互式的登录，由Win Logon调用GINA(Graphical Identification and Authentication)DLL实现，GINA DLL提供了一个交互式的界面为用户登录提供认证请求[4]。微软同时也为用户提供了接口，用户可以编写自己的GINA DLL来代替MSGINA..DLL。Win Logon会和GINA DLL进行交互，windows默认的是MSGINA.DLL(在System32目录下)。GINA为WinLogon提供能够对用户身份进行识别和验证的函数，并将用户的账号和密码反馈给Winlogon。在登录过程中，“欢迎屏幕”和“登录对话框”就是GINA显示的。由此我们可以通过替换系统GINA的来取得登录信息。 　　在实现自定义GINA的过程中，如果所有的GINA接口都重新实现，这样大大增加了实现系统的难度。所以往往只重写我们需要的关心的几个函数，对其他的函数则调用MSGINA.DLL，这样既实现了自己的需要，也保证了系统的完整性和可靠性。 　　（二）校园内网安全审计中强制审计的实现 　　如果利用GINA在操作系统登录的时候就调起客户端的Agent，如果仅仅是这样做，审计系统还存在漏洞，因为用户登录系统可以在任务管理器中结束Agent。为了解决这个问题，本文采用进程隐藏技术对进程进行保护。理论上来说，在Windows中的每个进程都有自己的私有内存空间，别的进程是不允许对这个私有空间进行操作的，但是实际上，我们仍然可以利用各种方法进入并操作进程的私有内存[5]。动态嵌入技术有多种如：窗口Hook、挂接API、远程线程等，本文采用了远程线程技术。 　　远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间[6]。我们知道，在进程中，可以通过Create Thread函数创建线程，被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线程)共享地址空间以及其他的资源。但是，通过CreateRemoteThread也同样可以在另一个进程内创建新线程，被创建的远程线程同样可以共享远程进程的地址空间。所以，我们就可以通过一个远程线程，进入了远程进程的内存地址空间，也就拥有了那个远程进程相当的权限。本文三个步骤来实现Agent的保护。 　　第一步：在GINA中启动进程A，A进程负责把dll B远程注入一个远程进程，可以是Explore.exe或Winlogon.exe等。 　　第二步：A成功把dll B注入远程进程以后，把自己自动从内存中卸载。 　　第三步： dll B进入运行状态后，负