基于NAC的内网恶意程序防护系统设计与实现-计算机应用技术专业论文.docxVIP

万方数据 万方数据 摘要 摘 要 计算机科学的迅速发展和信息化时代的到来，内网安全已经成为制约科技发 展和信息化建设的关键问题。目前国内外已经有很多的安全软件企图解决这方面 的问题。但是由于存在着成本、速度及安全研究方面的不足，仍然不能很好地解 决所面临的问题。我们迫切需要一个在构架上和技术上都能很好地应对目前的内 网环境，能在很大程度上解决我们所面临的问题的软件。 基于 NAC 的内网恶意程序防护系统是在目前 NAC 构架下，充分利用它的网 络隔离功能，通过部署在各节点的安全防护软件扩展了 NAC 的内涵。在事前认证、 事中监控、事后记录的基础上增加了发生安全事件后的保护功能。 目前很多流行的安全防护技术都是基于分析 API 调用序列来分析程序动态的， 以便实时掌握进程动态把威胁控制在恶意行动的初始阶段。但是目前的分析技术 都集中在对正常调用序列穷举之后对异常序列的对比，或者以某种算法(如 MCM) 提取关键序列片段以求在不降低有效防护时减少工作量。但是这种方法在操作又 会遇到很大的麻烦，那就是正常序列差不多是无穷的，对他的穷举基本上是不可 能的。再则，由于正常序列的数量巨大，在比对时非常耗时，影响判断速度，制 约软件性能。所以本文以函数调用源替代正常调用序列，以确认调用源替代调用 序列对比的改进，在有限个模块的情况下很好的解决了这个问题。 在内网安全的防护中，对网络流量的监控是很容易想到的办法，但是如果对 流经网络中的数据在进程中就进行完整性进行验证，对保护内网数据的安全性是 有很大意义的。本文论述的流量控制针对流量特征的进程的数据安全进行研究的， 通过在 NDIS 层串入流量控制器，对在应用程序预设的数据量和截获的数据量对比 验证数据完整性。以这种方式防止关键数据流出或者当当前进程被劫持时阻断数 据发送，防止本机中的关键信息被以合法的手段非法的发送出去，使内网具有在 安全事件发生后基本防护能力，而不是象以往的安全系统一样一旦系统被攻陷本 机信息就完全对外公开。在本文中的流量控制与传统的流量控制是有区别的，本 文所指的流量控制并不是控制网络数据在通信链上的发送率，而是对与网络相关 的进程所发送的数据进行统计，以防止进程所建立的连接被劫持而造成系统关键 数据流失。 关键词：内网安全，NAC，调用指纹，流量控制 I ABSTRACT ABSTRACT The local network, along with the advent of the information age and the rapid development of computer science, security has become a key constraint for the progress of the technology construction. There are many information-security management softwares both at domestic and aboard in nowadays.They are already fairly complete functionality, but still don’t match the actual requirement of the local network security, due to the existence of cost, speed and lack of safety research. We urgently need a software on the basis of a deep framework and technology, which can respond well to the current environment within the network, in large measure to solve the problems we are facing. The malware protection system of local the network in the current NAC framework, based on NAC , make full use of its network isolation and extends the connotation of NAC through the deployment of the nodes in the security software. It has increased a functionability of protection after security incidents ,more than prior