（计算机应用技术专业论文）分布式防火墙防病毒模块的研究.pdf

湖北工业大学硕士学位论文 摘要 计算机和网络技术的不断发展在满足人们需要的同时也带来了负面的效应，病 毒的出现就是其中最显著的一个方面。从病毒诞生至今，已经有不计其数的病毒对 我们的信息系统的安全构成了威胁，而且随着网络的普及，病毒的传播和发展甚至 有愈演愈烈之势。针对当前病毒主要依靠网络进行传播的特点，用何种技术来建立 一个网络环境下一体化，智能化的防病毒体系，已经成为企业和组织的迫切需要。 病毒的感染和发作等操作行为都是在计算机的内存中进行，病毒的感染对象也 都是计算机内的数据文件，如果采用一种针对内存中文件操作进行监控的技术来防 病毒，应该可以很全面的完成本地的病毒防护任务。使用操作系统的文件系统及其 过滤驱动技术来拦截针对文件的操作，拦截的过程都在内存中进行，而且系统内最 底层的驱动程序具有最高的权限，所以这种技术防病毒效果很出色。 当然仅仅是本地的防护显然不能满足对网络大面积应用的企业和组织的需要， 所以一种具有安全策略中心的智能化一体化网络安全体系分布式防火墙 就应运而生，它具有针对网络体系内所有主机进行安全策略管理的功能，而且还具 有很好的可扩展性，随时适应网络结构的变化，分布式防火墙的这些特点体现了很 好的智能性和立体性安全防护策略。 把上面的两种技术联系起来，把文件实施监控防病毒技术以功能模块的形式嵌 入到分布式防火墙系统内部，同时在分布式防火墙的中心安全策略服务器内部建立 针对病毒的安全防护策略规则，这样病毒无论是在本地计算机还是在局域网内，都 会被很有效的查杀，我们需要的一体化病毒的防护的目标就可以达到。 关键词：计算机病毒，文件系统的过滤驱动，实时监控，分布式防火墙 湖北工业大学硕士学位论文 a b s t r a c t d e v e l o p m e n to ft h ec o m p m e rs c i e n c ea n di n t e m e tt e c h n o l o g yb r i n g sp e o p l em a n y b e n e f i t b u ti ta l s og i v eu ss o m eb a de f f o r t ss u c ha st h ev i r u s t h e r ea l ep l e n t yo fw l m s w h ot h r e a t t h es a f e t yo f o u ri n f o r m a t i o ns y s t e mf r o mt h et i m ew h e nt h e1 “v i r t l $ w a sb o m n o wt h es i t u a t i o no f t h ev i r u s d e v e l o p m e n ti sm o r ea n dm o r ei n t e n s e l yd u et ot h ew i d e l y u s eo fn e t w o r k , h o wt oc h o o s eo n ek i n do ft e c h n o l o g yt oc o n s t r u c tai n t e l l i g e n ta n d i n c o r p o r a t e d a n t i - v l m s s y s t e m i st h ei n s i s t e n tn e e do fm a n yc o r p o r a t i o n sa n d o r g a n i z a t i o n s t h ea f f e c t i o na n dt h ei m p l e m e n to f v i r u sa l ea j lh a p p e n e di nm e m o r y , v i r u sa l w a y s a f f e c tt h ed a t af i l e si n s y s t e m , s ow ec a nu s eat e c h n o l o g yw h i c hf a c e s a tt h e f i l e - m o n i t o r l n gi nt h em e m o r yt op r o t e c qo u rs y s t e m t h et e c h n o l o g yw i t hf i l es y s t e m a n di t sf i l t e rd r i v e rw h i c hs l a yi nt h eb o t t o mo ft h es y s t e mw o r ki nm e m o r y ，i to a n m o n i w ra l lo f t h eo p e r a t i o no f f i l e s s ot h i sk i n do f t e c h n o l o g yc a nr l j a k eg o o de f f o r t si n a n t i - v i r u s o n l yl o c a lv i r u sm o n i t o r i n gc a n tf i tf o rt h en e e do fc o r p o r a t i o n sa n do r g a n i z a t i o n s w h i c hh a v et h ew i d e l yu s eo f n e t w o r k , s oan e t w o r ks y s t e mw i t hs a f e t yp o l i c yc e n t e r - t h e d i s t r i b u t e df i r ew a l l h a sb o r n i tc a nm a n a g ea l lt h eh o s t sw i t hs a f e t ym e t h o d si nt h e l a n ，i ta l s oh a sg o o de x t e n s i o nw h i c hc a l l f i tf o rt h ec h a n g eo ft h en e t w o r ks t r u c t u r e ， t h e s ef i g u r e si n e a m a t et h ei n t e l l i g e n ta n dt h es o l i ds a f e t y - p r o t e c t i o np r o p e r t i e so ft h e d i s t r i h a t e df i r e 嘲1 m e l dt h e s et w ok i n d so ft e c h n o l o g i e s ，e m b e dt h ef i l em o n i t o r i n gm o d u l ei n t ot h e f i r ew a l l ，a n dc o n s t r u c tt h ea n t i v i m ss a f e t yp o l i c yr u l e si nt h ef i r ew a l l ，s ov i r u sw i l lb e k i l l e d1 1 0m a t t e rt h e ya r ei nt h el o c a lm a c h i n eo ri nt h el a n ，t h eg o a lw i t hi n c o r p o r a t e d a n t i v i r u ss y s t e mw i l lb ea c h i e v e d k e y w o r d s ：c o m p u t e rv i r u s ，f i l es y s t e mf i l t e rd r i v e r , r e a lt i m em o n i t o r i n g ，d i s t r i b u t e d f i r e w a l l 诹 l 亡工案欠秀 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取得 的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经发表 或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方式标明。 本声明的法律结果由本人承担。 学位论文作者签名：概身、 日期6 7 年月f 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留并 向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权湖 北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影 印、缩印或扫描等复制手段保存和汇编本学位论文。、 学雠文储馘曾谴瑟指导教师张磁魏 日期：。扫刁年月s 日日期：年月 日 湖北工业大学硕士学位论文 1 1 课题来源 第1 章引言 课题来源于：2 0 0 4 年湖北省科技攻关项目“支持隧道代理的主动防御型防火 墙的研究”( 项目编号：2 0 0 4 a a l 0 1 c 6 7 ) 。 1 2 研究背景 计算机技术与通信技术的融合使计算机网络在信息的采集、传输、存储与处理 中处于核心地位，人们对计算机网络的依赖性越来越强，计算机网络逐渐成为整个 社会基础设施中最重要的一部分，它的飞速发展已经把人们的学习、工作与生活紧 密地联系在一起，涉及到教育、经济、政治、军事等各行业、部门。对计算机和网 络系统的严重依赖使得我们必须确保计算机和网络系统的安全。 计算机技术和网络通信手段的发展同时也带来了负面效应，计算机病毒就是对 我们威胁最大的负面效应之一。伴随着信息技术的不断发展，计算机数字病毒的种 类与日俱增，病毒的传播手段也更加复杂，数字病毒更迅速地通过网络共享文件、 电子邮件及i n t e r n e t i n t r a n e t 等多种途径来感染组织的计算系统。在较短的时间内， 计算机病毒和其他形式的恶意程序已从较小的、不常发生的妨害行为发展至重大的 安全威胁。它们的泛滥在全球范围内造成了严重的影响，甚至使一些毫无准备的 企业和组织陷入瘫痪，它们的破坏力会造成难以预料的损失，我们的数据文件会受 到各种病毒威胁，严峻的形势使计算机病毒防护已经成为现代的网络系统安全策略 中的重要内容。 下图描述了计算机病毒带给我们的具体危害： 湖北工业大学硕士学位论文 病毒破坏的情况 图1 计算机病毒的具体危害 对于个人计算机来说，使用杀毒软件来查杀本地计算机的病毒就已经足够，我 们都知道，防病毒软件一般是对计算机系统进行实时监控，对文件进行特征码匹配 查找，这种方法可以查出病毒的存在，因为病毒只要在本地一经被发现就会立即被 检测到，不会有传播出去的途径，因此个人防火墙在对付本地病毒方面比较有效。 但是对于企业网络来说，仅仅在每台计算机上都装杀毒软件是远远不够的。杀 毒软件是可以对付病毒，但是，病毒在网络中的传播速度实在惊人，仅仅保证单个 节点计算机不受病毒感染是不行的，对于企业来说，如何有效的针对整个网络体系 的安全防护进行科学的管理是首要问题。一个完整的企业级防病毒系统，应该具有 病毒检测、病毒分析、病毒报告、防毒策略分发、病毒策略更新和病毒日志管理等 集中式中央管理的功能，这样才能解决企业和组织的网络杀毒技术一体化和智能化 问题。网络安全重在管理，任何好的安全产品，如果没有做到好的配置和管理，都 不会很好地发挥作用。如果采用而分布式防火墙技术，足以解决网络安全管理方面 的困难，通过分布式防火墙中央管理器，可以对网络内每台计算机上的防病毒软件 进行配置、管理和更新。这样，可以从宏观的角度对整个网络的防火墙进行管理。 就像现在流行“以人为本”一样，防火墙的使用也逐渐以计算机为本。对于企业和 组织的系统内的的局域网，针对单机的杀毒和分布式防火墙的组合是比较易于部署 且维护方便的安全解决方案。管理员可以通过中央管理服务器对各个用户使用的防 火墙进行配置和管理。当然这种管理可以在企业内部网络，也可以通过i n t e r n e t 远 程管理，使每台计算机上的杀毒软件都能及时更新，从而大大降低了因个别计算机 染毒而破坏整个网络现象的出现。 现在的安全防护发展趋势也决定了分布式和网络化是未来企业杀毒特点，它会 覆盖到企业网络的每个端点，给企业网络更“贴身”的保护。杀病毒产品和防火墙 2 湖北工业大学硕士学位论文 产品在未来应该会更紧密地结合。同时，它们与操作系统也要进行紧密的结合，乃 至融入操作系统内部，这是安全防护产品的技术发展趋势。 1 3 研究内容与目标 本文研究目的：以针对单机病毒防护的文件实时监控防病毒技术和针对网络体 系的安全管理的分布式防火墙技术为基础，把单机防病毒模块融入到分布式防火墙 内部，同时在分布式防火墙的安全策略管理中心为病毒防护进行相应的策略管理和 日志记录，以实现智能化和一体化的防病毒目标。论文的研究工作主要包括以下几 个方面： ( 1 ) 简要介绍了计算机病毒的概念和发展过程，详细讲述了计算机病毒的分类以 及当前的发展趋势，计算机病毒的共有特征和传播和感染途径，然后分析了病毒的感 染发作机制，目前针对病毒所采用的检测技术和基于检测技术而产生的防御技术。 ( 2 ) 介绍了一种针对感染文件型病毒的实时监控检测技术。详细讨论了此技术的 核心操作系统内部的文件系统驱动及其过滤驱动，具体来说，主要讨论了操作系 统以及驱动的结构，要实现防病毒模块的两大技术环节与“实时性”等特点，然后分 析了以此技术为核心的商用防病毒引擎的结构，最后提出了此项技术的改进手段。 ( 3 ) 详细分析了分布式防火墙的体系结构和关键的安全管理模块，提出把前述的 文件实时监控技术融入到分布式防火墙内部，建立针对桌面机和服务器等实时监控防 病毒系统，建立针对局域网内部病毒的入侵和传播的安全管理策略，实现对部署的所 有防毒产品进行集中的管理，部署，安全策略更新，日志汇总和分析，病毒情况报警 等功能。 ( 4 ) 展望未来的病毒发展趋势，提出系统化全面立体的反病毒技术今后的发展目 标。 1 4 文章的结构与安排 本文的章节安排如下： 第二章主要介绍了计算机病毒概念，本质，分类，结构特征以及感染发作机制， 并且分析了当前病毒检测与防御技术的研究现状和待解决的问题。 第三章主要研究了以文件系统及其过滤驱动为核心的针对病毒行为进行检测 的进行实时监控技术，详细分析了位于操作系统底层的驱动程序工作原理，过滤机 制。程序结构和针对病毒的监控技术，并且在此基础上提出了此项技术存在的不足 湖北工业大学硕士学位论文 和改进方式。 第四章先是介绍了分布式防火墙的特点，结合前两章的结论，针对当前网络系 统内部病毒检测与防御系统的需要，提出一个结合文件实时监控和分布式防火墙技 术于一体的病毒检测与主动防御系统模型，并且说明了模型的具体防病毒手段。 第五章对论文所做的研究工作进行总结，对今后病毒以及反病毒技术的发展趋 势做出展望。 4 湖北工业大学硕士学位论文 第2 章计算机病毒 本章主要介绍计算机病毒，包括：详细说明计算机病毒的基本概念、发展历程 和主要分类，计算机病毒的特征和传播机制，然后介绍了计算机病毒的感染发作机 制及主要的防病毒技术的研究状况。 2 1 计算机病毒 本论文所指的计算机病毒，指传统概念的计算机病毒和恶意程序。传统概 念的计算机病毒是一段可行代码，运行时会影响或附着在其它可执行代码上，并自 行复制。当病毒被激活时，可能盗窃计算机内资料，也可能直接破坏信息资源。 自从1 9 8 3 年世界上第一个计算机病毒d 4 - 17 】出现以来，在不到2 0 年的时间里， 计算机病毒已到了无孔不入的地步，己经成为危害计算机安全的一个主要威胁。有 些甚至给我们造成了巨大的破坏。每当一种崭的计算机技术广泛应用的时候，总会 有相应的病毒随之出现。例如，随着微软宏技术的应用，宏病毒成了简单而又容易 制作的流行病毒之一；配合主板b i o s 升级技术，出现了第一款可以损坏硬件的c i h 病毒；随着i n t e r n e t 网络的普及，各种蠕虫病毒如美丽莎，爱虫，s i r c a m 等疯狂传 播；网络的不断发展更产生了集病毒和黑客攻击于一体，通过8 0 端口进行传播的 。红色代码( c o d er e d ) ”病毒和n i m d a 病毒；还有前一段时问我们国家出现的熊猫 烧香病毒。 据反病毒公司m c a f e e 统计，当前计算机病毒的数量己超过2 0 万种，传播日益 广泛，破坏造成的损失逐年增大，而且预计2 0 0 8 将会有4 0 万病毒定义。国际电脑 安全协会( i c s al a b s ) 1 2 - 1 3 】对美国中大型公司的调查报告显示，在2 0 0 3 年每1 0 0 0 台p c 每个月平均有2 0 1 台遭遇计算机病毒。每一次病毒破坏造成的恢复费用从2 0 0 2 年的8 1 0 0 0 美元上升到了2 0 0 3 年的1 0 0 0 0 0 美元。 2 1 1 计算机病毒的发展 计算机病毒从出现到现在，按时代的不同可以划分为四代： ( 1 ) 第一代病毒( 1 9 8 5 1 9 8 9 ) ，病毒的特点是以纯单机运行为主，主要感染磁盘 引导区和可执行文件，把自身代码( 不作加密地) 复制到宿主程序( h o s t p r o g r a m s ) 上， 通过截获系统中断向量的方式来监视系统的操作； 湖北工业大学硕士学位论文 ( 2 ) 第二代病毒( 1 9 8 9 1 9 9 1 ) ，又称为混合型病毒，即同时感染引导区和可执行 文件，并开始通过网络进行传播； ( 3 ) 第三代病毒( 1 9 9 2 1 9 9 5 ) ，也称为多态性病毒，特点是可以以自身为基础产 生变种计算机病毒为了避免被检测到，对自身代码进行加密，感染不同文件的相同 病毒样本的源代码并不相同，隐蔽性很强，为病毒的分析带来了困难； ( 4 ) 第四代病毒( 1 9 9 6 ) ，这一代病毒主要以i n t o n e t 为传播途媒介，比如通 过操作系统漏洞获取系统控制权并打开系统后门为主的蠕虫病毒，传播范围广，危 害大。 2 1 2 计算机病毒的分类 2 1 2 1 按照传染对象分类 计算机病毒按照传染对象，可分为六大类，它们是：引导区病毒，文件病毒， 宏病毒，脚本( s c r i p t ) 病毒，混合多态( m u l t i p a r t i t e ) 病毒和变形( p o l y m o r p h i c 、，i m s ) 变 体( m e t a m o r p h i ov i r u s ) t l u 病毒。除计算机病毒外，还有能攻击计算机系统的其它类 垫的恶意程序：特洛伊木马，蠕虫，玩笑程序，黑睿工具和病毒释放工具。 图2 1 计算机病毒的分类 引导区病毒( b o o ts e c t o rv i r u s ) ：此类病毒把它的启动代码放在硬盘的根扇区。 当计算机启动的时候就会读取和执行根扇区中的程序，这个时候病毒就可以进入内 存并获得对计算机操作的控制。病毒运行后，它通常执行正常的根扇区程序，这些 程序被病毒存贮在磁盘的其他地方。主引导记录或者引导扇区都有可能被病毒感 染。当系统被感染后，正常的主引导记录或者引导扇区的代码被病毒代码替换，电 脑启动的时候首先运行的是病毒代码，正常情况下，病毒代码会一直驻留在内存中 6 湖北工业大学硕士学位论文 等待感染的时机。从内存，个根扇区病毒能够传播到系统的其他驱动器上( 软盘、 网络等) 。一般情况下，当读写软盘的时候，如果在内存中有病毒代码，这这张软盘 有很大的机会被感染 m a j o r f u n c t i o n i r pm jc r e a t e 】= c r e a t e ； 函数接口 指针 r t l u n i e o d e s t r i n g ( & n t d e v i c e n a m e , d e v i c e n a m e ) ； 2 2 湖北工业大学硕士学位论文 n t s t a t u sa d d d e v i c e ( p d r i v e r _ o b j e c td r i v e r o b j e c t ，p d e v i c e _ o b j e c tp d o ) p d x - l o w e r d e v i c e o b j e c t = i o a t t a e h d e v i e e t o d e v i c e s t a e k ( ) ； ， i o c r e a t d e v i e e ( d r i v e r o b j e e t ； s i z e o f ( d e v i c e o b j e c t ) ； ) ，色0 建设备对象 ，生成设备 ) ( 2 ) 驱动程序服务例程，用户发出请求后i ，o 管理器调用相应的服务例程提供 服务，也就是对派遣函数d i s p a t c h 的调用。 d i s p a t c h f u n c ( p d e v i c e _ o b j e c tp d o ，p i r p 蚴 p d e v i c ee x t e n s i o n p a x= ( p d e v i c ee x t e n s i o n _ ： f i d o - d e v i e e e x t e n s i o r g 获得全局信息 p l o b u f f e r = ( p u l o n g ) p l r p - a s s o e i a t e d l r p s y s t e m b u f f e r ；，得到用户的请求 s w i t c h ( p l r p - m a j o r f u n e t i o n ) 由i r p 携带的信息进行操作 c a s ei r p m j c r e a t ； b r e a k ； ) r e t u r ns t a t u s ； ) ( 3 ) 驱动程序的卸载例程，使用u n l o a d 函数来释放初始化时分配的资源，删 除创建的对象结构，释放占有的内存。 d r i v e r u n l o a d ( p d r i v e r _ o b j e c td r i v e 而b j e 吐) r t l f r e e u n i c o d e s t r i n g ( & s e r v k e y ) ； 解放所占的资源 i o d e l e t e d e v i e e ( p l d l - d e v i e e o b j e e t ) ； 删除设备对象 以上就是基本的驱动程序结构。 湖北_ t - 业大学硕士学位论文 3 3 文件实时监控技术的本质 说到具体的文件系统的监控防病毒，通过上面的介绍可得知：如果我们想拦截 系统的文件操作，就必须拦截i o 管理器发向文件系统驱动程序的i r p 。而拦截i r p 最简单的方法莫过于创建一个上层过滤器设备对象并将之加入文件系统设备所在 的设备堆栈中。针对程序具体的来说，我们先调用a d d d e v i c e 函数的来创建一个设 备对象，然后把它连接到设备堆栈中。相关步骤如下： ( 1 ) 调用i o c r a a t e d e v i c c 创建设备对象。 ( 2 ) 即寄存一个或多个设备接口，以便应用程序能知道设备的存在。另外，还 可以给出设备名并创建符号连接。具体的来说，调用i o g e t d e v i c e o b j e c t p o i n t e r 来得 到文件系统设备( n t f s ，f a s 3 2 ，c d f s ) 对象的指针，设备命名后，其它内核模式部件 可以通过调用i o g e t d e v i c e o b j e e t p o i n t e r 函数找到该设备，找到设备对象后，就可以 向该设备的驱动程序发送i r p 。 ( 3 ) 其他全局性的初始化操作，包括初始化设备扩展和设备对象的f l a g 成员 ( 4 ) 调用l o a t t a c h d e v i e e t o d e v i e e s t a e k 函数把新设备对象放到堆栈上，即生成 了我们所需要的过滤器驱动。 从本质上来看，w i n d o w s 2 0 0 0 ，n t 下病毒实时监控的实现主要依赖于操作系统 的内核模式驱动编程，拦截i r p ，内核驱动与用户模式下客户程序的通信三项技术。 任何针对文件的操作所发出的请求而产生的i r p 都要最先经过文件系统的上层过滤 驱动，这样后者就可以获得操作的具体内容并对其加以过滤( 在d i s p a t c hf u n c t i o n 里 实现) ，然后通过于用户模式下的病毒检测程序进行交互，来判断文件是否感染了病 毒，一旦发现具有病毒特征的异常操作就发出警告以提示我们进行有选择的应对( 比 如隔离，删除等) ，而且i r p 的产生和过滤驱动对它进行分析基本是同步的，实时性 就得到了很好的体现，以上就是文件实时监控反病毒技术的本质。 使用文件系统的过滤驱动作为实时监控的核心技术的最主要原因就是内核模 式的程序工作在操作系统的最底层，它所实现的“实时监控”真正做到和操作系统 或应用程序的无缝联接，最底层的监控是采用任何手段的病毒技术都绕不过去的， 这样就保证了针对文件进行任何操作的监控可以万无一失，还有一点就是工作在内 核模式的程序具有最高操作权限，所以它所建立的监控是不可能被任何系统内的操 作所屏蔽的。 在用户模式下我们可以建立针对文件病毒特征的病毒库，比如针对2 进制文件 病毒可以建立2 进制病毒库，针对脚本文件病毒可以建立脚本病毒库。当过滤器驱 动程序得到针对文件操作的i r p 内部的具体操作内容之后，就可以把这些内容跟病 湖北工业大学硕士学位论文 毒库内的文件进行匹配，以此来检测是否感染了病毒。病毒库内部的病毒描述文件 一般都由病毒描述语言d lv i r u sd e s c r i b el a n g u a g e ) 来进行定义，不过由于病毒种 类繁多，相应的病毒特征码数量也相当宏大，所以一般在病毒库内部存放的都是针 对病毒的一种特定形式的描述或者签名【1 9 1 。 3 4 实际应用中的病毒实时监控技术 下面以一种商用的文件病毒监测流程图为例，来说明实际应用当中具体的反病 毒过程： 实时监控 图3 5 商用病毒实时监控模型 由图可以看出，反病毒程序入口开始执行，接下来的“获得文件具体操作并分 类调用”过程其实就是通过对文件操作的实时监控，得到文件操作的内容和文件的 类型，不同的文件进行不同的分类调用。这些工作都是在核心态完成的。 下面的工作在用户态完成： 对于2 进制文件的操作信息由核心态传递给用户态，然后通过2 迸制检测模块 把相应的操作命令跟2 进制病毒库的内容相匹配，若有相符合的条目，则进入到“针 对本感染文件的具体操作”过程进行相应的病毒防护操作。 对于文本类型文件，主要是进行脚本病毒检测，目前有v b s 、j s 、p h p 、p e r l 等多种文件类型的脚本病毒；还有部分反病毒软件的宏病毒检测也是交给脚本处理 引擎完成的，比如通过o f f i c e 文件，先通过o f f i c e 预处理器提取出宏的b a s i c 源码，之后再交给脚本病毒检测模块。他们的操作跟2 进制的病毒检测是相同的原 湖北工业大学硕士学位论文 理。 以上只是很简单的对实际应用中的实时反病毒技术的讨论，而真正用于企业化 的病毒实时监控技术跟这个原理是相同的，但真正的实现起来，比这个要复杂的多。 3 5 文件实时监控反病毒技术目前存在的问题 针对文件的实时监控是世界上的主流反病毒技术，许多反病毒产品生产厂家都 采用了此技术，比如n o r t o n 和m c a f ，跟众多的反病毒技术一样它也会有不足，主 要有： ( 1 ) 如果有滥用拦截操作现象会造成系统性能下降，有些文件实时监控软件都 会很占用系统的资源，造成系统运行速度的下降，主要原因就是没有规则的使用过 滤器来拦截i r p ，即造成操作系统忙于进行处理又使i r p 通信流受阻。 ( 2 ) 会有病毒误报的情况出现，有些针对文件的操作可能会跟某些病毒特征相 似，这样监控程序就会把这样的操作误认为是病毒，误报情况的出现也相应的降低 了防病毒软件的效率。 针对这些问胚的解决方案就是要增强文件实时监控软件的智能化设计，比如对 于问题一的解决方案可以采用设置历史纪录，内置文件类型过滤，设置等待超时等 方法。历史记录法就是对于已经发现过的病毒名称及其行为特征就加以记录，以后 遇到相同的或者类似的情况就不再进行分析而直接报告；内置文件过滤类型就是针 对不同类型的文件有选择的进行监控，这样就可以避免在一些不必要监控的文件上 花费时问；设置等待超时就是为某项扫描设定时间上限，如果超过时间限制就不再 等待，有助于提高效率；这些方法看上去虽然各不相同，但是从本质上来看，其实 是增强了拦截操作的规则性。 对于问题二可以采取行为打分制的方法，也就是所谓的启发式扫描方法，一个 病毒总存在其与普通程序不一般的地方，譬如他会格式化硬盘，重定位，改回文件 时间，修改文件大小，能够传染等等，我们对于不同病毒特征的操作赋予不同的分 数，这样就可以对每一类病毒特征进行加权，譬如重定位3 分，格式化硬盘1 5 分， 传染l o 分，这样，如果一个程序拥有这3 个功能，他就得到了2 8 分，如果我们设 定判断一个病毒的标准是2 0 分，那么这个程序在遇到采用了启发式扫描技术的杀 毒软件时，杀毒软件就会报警说发现了新病毒。 基于文件的实时监控反病毒技术是很全面很有效的防病毒技术，我们都知道病 毒跟应用程序一样，它的执行和发作都需要在内存中进行，所以针对病毒的检测也 只需要针对内存进行就足够了，文件的实时监控程序运行于操作系统的最底层，可 湖北工业大学硕士学位论文 以捕获任何状态下内存中针对文件的操作，因此这项技术足以解决病毒带来的危 害。 湖北工业大学硕士学位论文 第4 章防病毒模块嵌入分布式防火墙 本章主要讨论把前述的文件实时监控反病毒模块嵌入到分布式防火墙内部，提出 把前述的文件实时监控技术融入到分布式防火墙内部，建立针对桌面机和服务器等实 时监控防病毒系统，建立针对局域网内部病毒的入侵和传播的安全管理策略，实现对 部署的所有防毒产品进行集中的管理，部署，安全策略更新，日志汇总和分析，病毒 情况报警等功能。 4 。1 分布式防火墙 传统的单机防火墙只能针对本地计算机进行安全防护，虽然在防病毒方面做得 很出色，但是面对互联网迅速发展的今天，纯单机的安全防护已经远远不能满足企 业和组织的需要。而且网络拓扑结构的变化也是传统防火墙发展的制约，分布式防 。火墙就与时俱进的诞生了。 所谓的分布式防火墙，就是指那些驻留在网络中主机如服务器或桌面机并对主 机系统自身提供安全防护的软件系统，它能够实现对一个组织进行智能化和整体化 的安全防护，从一定意义来讲，分布式防火墙是一种新的防火墙体系结构，它包含 以下部分： ( 1 ) 网络防火墙。用于内部网与外部网之间( 即传统防火墙) 和内部网子网之间的 安全防护，它区别于传统防火墙的一个特征是需支持内部网可能有的m 和非i p 协 议 ( 2 ) 主机防火墙。对于网络中的服务器和桌面机进行安全防护，这些主机的物 理位置可能在内部网中，也可能在内部网外，如托管服务器或移动办公的便携机。 ( 3 ) 中心安全策略管理。传统防火墙只是网络中的单一设备，管理是局部的。 对分布式防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布 置在网络中的任何需要的位置上，但总体安全策略又是统一策划和管理的，安全策 略的分发及日志的汇总都是中心管理应具备的功能。中心安全策略管理是分布式防 火墙系统的核心和重要特征之一1 2 6 】。 4 1 1 分布式防火墙的主要功能 跟以往的防火墙技术相比，分布式防火墙的突出功能具体体现在1 2 6 1 ： 湖北工业大学硕士学位论文 ( 1 ) 消除单点瓶颈。吞吐量不再受边界防火墙限制，消除了网关处的速度瓶颈， 提高了整个系统的性能； ( 2 ) 加强了对来自内部攻击的防范。网络中每个主机都有防火墙，这样每个主 机都能防止来自任何其他主机( 不论是网络内部还是外部) 的攻击，特别是可以防止 传统防火堵所无能为力的分布式拒绝服务攻击，这就大大减少了内部攻击的危险： ( 3 ) 系统性和可扩展性。分布式防火墙的中心管理对所有主机( 可能有些位于网 络拓扑结构之外) 进行统一的安全管理，根据各个主机的情况和整个网络的状况制定 统一的安全策略，这就增加了安全管理的系统性，使管理更加科学。另外，由于分 布式防火墙不依赖于网络拓扑结构，网络可以不受防火墙的限制进行扩展； ( 4 ) 保护位于网络拓扑结构以外的主机。分布式防火墙体系结构将远程办公者 的主机、托管的服务器等位于网络拓扑结构以外的主杌纳入防火墙系统的保护范围 之内，使得那些主机得到与内部主机统一的安全保护，而且它们与内部网络的通信 更加安全； ( 5 ) 保护边界防火墙不能很好地保护的应用和协议。由于防火墙程序转移到端 点上执行，防火墙对于主机要做什么了解的更多，更清楚地了解主机会在什么时候 监听特定端口。 安装d f w 的分支机构 安装d f w 的节点计算机 安装d f w 的终端用户 服务器 图4 1 分布式防火墙的结构 4 1 2 分布式防火墙的本质 安装d f w 的服务器 理解分布式防火墙的本质特征有助于正确认识分布式防火墙，从而划清分布式 防火墙和非分布式防火墙之间的界限。其实分布式防火墙的基本工作原理就是，首 先由制定防火墙接入控制策略中心通过编译器将策略语言描述的策略转换成内部 湖北工业大学硕士学位论文 格式，形成策略文件：然后中心采用系统管理工具把策略文件分发给各台内部主机 各主机根据新的策略文件来确定是否接受收到的包i ”j 。 分布式防火墙的本质特征可以从以下三个方面进行说明： ( 1 ) 安全策略必须由管理员统一制定 这是分布式防火墙与个人防火墙的本质区别之一，虽然它们都是主机驻留式 防火墙，但个人防火墙的运行是个人行为，而主机防火墙的运行是集体行为，每 台主机的安全策略都是整个组织安全策略的一部分，所以分布式防火墙要求实行 统一的策略管理，在未授权的情况下，终端用户不能更改主机防火墙所执行的策 略或停止主机防火墙的运行。 ( 2 ) 安全策略必须分发到主机防火墙上实施 为了弥补边界防火墙的不足，分布式防火墙将策略实施从边界的集中点迁移 到网络的末端即终端主机上，依靠主机防火墙来提供对网络的更全面的防护。 ( 3 1 日志统一收集 管理员要对全网进行安全监控，他必须掌握充分的信息，日志是管理员了解 信息、追踪攻击者的主要依据。 。 综上所述，分布式防火墙的本质特征可概括为“策略集中制定分散实施，日 志分散产生集中保存”，这样就保证了从管理员的角度来看，他管理分布式防火 墙就像管理边界防火墙一样，由他负责制定全网的安全策略并对全网的安全状况 进行监控，只不过策略的实施不在单一节点上而是分散到了多个节点而己。 4 。2 分布式防火墙的策略管理 分布式防火墙是网络安全的关键技术，而防火墙策略的制定、分发、实旌，则 是防火墙有效性的核心问题。策略是管理系统选择行为的规则，它为越来越多的网 络服务和安全系统作为一种灵活执行和自适应的机制所使用。在一些大型多组织系 统中，访问控制一般都由很多不同的模块来完成，这时候一种通用的安全策略描述 显得格外重要【2 1 1 。 4 2 1 分布式防火墙的安全策略控制中心 前面已经介绍了，安全策略的管理是分布式防火墙的核心，分布式防火墙的安 全策略控制中心主要包括：中心管理接口、策略数据库、审计数据库和加密认证等 模块。中心管理接口负责人机交互，包括制定规则。管理员可以针对每台机器制定 湖北工业大学硕士学位论文 规则，也可以将全网分成若干个域，然后针对每个域制定规则，各个域内使用相同 的规则，域外使用不同的规则。主机防火墙驻留在主机中，负责策略的实施【2 ”。 f+ “ 臣策略管理模块i 。日志管理模块。嗣【s 加密认证模块 k r xb # 酾丽硐 1 广 图4 2 安全策略中心的结构 策略控制中心对总体安全策略进行统一策划和管理，对布置在网络中任何需要 的位置上的防火墙分发安全规则以及日志的汇总等，主要包括以下几个模块例： 策略管理模块：用来建立、删除、修改、存储策略等功能模块。 日志管理模块：在分布式防火墙中，日志的存储也应是分布式的，各个防火墙 节点收集日志，并在本地保存，控制中心定时从各个节点收集日志，并存储管理日 志。通常还会有日志审计系统来对日志进行分析。通过对日志的分析，用户可以知 道某一个执行节点的进出流量，某个i p 地址的访问情况，某些端口的服务的访问情 况等等，以达到分析整个网络的性能及安全问题。日志是检测是否受到攻击的重要 手段。 加密认证模块：产生并管理控制中心的公私密钥对及自我签名证书，防火墙节 点中的公私密钥对，及由控制中心对代理防火墙的签名证书；生成对话密钥，对传输 的消息进行加密和解密；对数字签名进行认证。 通信模块：负责通信数据的安全传输。 4 2 2 安全策略模块 安全策略模块的主要功能有： 安全策略的描述及定义机制。分布式防火墙必须具有一个作为系统策略中心的 模块，用来定义策略，策略中心需要一种策略语言( 如k e y n o t e 语言) 【3 剐来描述连接 合法与否。 安全策略的分发机制。这个分发机制必须安全，在策略的传输过程中必须保证 湖北工业大学硕士学位论文 其一致性。可以使用i p s e c 来保证传输过程中数据的安全和主机的认证。安全策略 的分发机制可以采用三种不同的原则，即实时分发原则、定时更新原则以及即时读 取原则。 安全策略的执行机制。这个机制对进入的包以及连接请求根据安全策略实施安 全控制，决定接受还是拒绝。 4 2 3 日志管理模块 日志管理模块主要工作是进行日志的收集，存储，管理和传输等功能，网络日 志记录所有被拒绝的访问请求信息，内容包括源i p 地址和源端口、目的”地址和 目的端口、服务类型及日志产生的时问等。管理员可以查看和编辑日志信息。完备 的日志管理和编辑是非常复杂的，对日志进行归类、分析需要专门的系统。 日志管理模块的主要功能有： ( 1 ) 定期或者按需收集来自执行主机的日志。 日志的收集一般有两种：一是控制中心为了特定的目的，主动去提取分节点的日 志，这些日志一般是针对某广_ 类网络服务产生的，控制中心需要用来实时监控或仔 细分析执行节点上的这类服务；二是执行节点按照既定的安全策略，定时发送给控制 中心的日志。控制中心收到日志后需要，进行归类，归纳，然后保存到日志库。 ( 分析日志， 日志的分析是一个很重要的功能。通过日志分析，用户可以分析某一个执行节 点的进出流量，某个i p 地址的访问情况，某一些端口服务的访问情况，以达到分析 整个网络的性能及安全问题。日志是检测是否受到攻击的重要手段。 ( 3 ) 提供检索日志的接口 在分布式网络中，汇集到控制中心的日志是非常多的。如何快速为用户找到特 定的日志是一个较困难的问题，一方面需要日志保存结构要清晰，另一方面用户的 使用界面要简单又不失灵活性。 ( 4 ) 提供编辑日志的界面。如：删除，备份，重新分类，打印等操作。 分布式防火墙可以针对各个服务器及终端计算机的不同需要，对防火墙进行最 佳配置，配置时能够充分考虑到这些主机上运行的应用，如此便可在保障网络安全 的前提下大大提高网络运转效率。由于分布式防火墙分布在整个企业的网络或服务 器中，所以它具有无限制的扩展能力。随着网络的增长，它们的处理负荷也在网络 中迸一步分布，因此它们的高性能可以持续保持。 湖北工业大学硕士学位论文 4 3 防病毒模块与分布式防火墙的融合 在一开始本论文的研究目标就很明确，面对目前的网络发展趋势，必须建立起 分布式的防病毒体系才能满足要求。本论文就是要设计一个针对网络体系的反病毒 系统结构，以实现对企业和组织局域网反病毒的有机管理。构建一个全面有效的网 络防病毒系统，应根据特定的网络环境定制病毒防护策略：预防策略、升级策略、 病毒感染的管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角 度统筹规划网络安全体系，全面顾及到网络系统病毒发生、预防、清除、审核等各 个阶段，能够在病毒爆发周期各个阶段对病毒进行有效的控制，将病毒造成的损失 降到最低。 防病毒模块以操作系统底层接口驱动为实现手段，功能强大，可以实现所有节 点计算机和服务器上针对病毒的监控；分布式防火墙的分布式体系，结构清晰明了， 管理维护方便。把它们两个结合在一起，可实现对整个网络上所有计算机的集中管 理，清楚地掌握整个网络环境中各个节点的病毒监测状态，既方便了维护人员，又 最大程度地减少了整个网络中的安全漏洞。 融合了反病毒模块之后，针对计算机病毒，分布式防火墙以两种方式发挥着其 安全保护作用。它们对每一个节点计算机用户提供安全保护，使它们不会成为病毒 进入网络的入口；保护网络中的关键服务器免受病毒的入侵，并能够对其它类似的 病毒代码进行监视，以防止这些被保护的服务器成为病毒感染他人的基地。 4 3 1 防病毒模块与分布式防火墙融合的本质 其实反病毒模块和分布式防火墙的融合，一方面就是在分布式防火墙内部的 主机防火墙原有功能的基础上进行扩充，添加反病毒功能，包括防病毒模块与节 点计算机的融合和与服务器的融合；另一方面就是分布式防火墙的中央安全策略 服务器的反病毒功能扩展。其中对于节点计算机和服务器的融合主要是指把实时 监控防病毒软件安装在他们之上，同时添加向中央安全策略管理器的病毒的报告 机制；针对中央安全策略服务器的功能扩展主要集中在安全策略管理模块和日志 记录管理模块上面，针对节点计算机和服务器发送的病毒报进行分析后采取有效 的防护手段。 湖北工业大学硕士学位论文 安全策略管理服务器( 策 略分发，日志记录) 安装