论文摘要：服务器内存动态安全监测系统的设计与实现

受经济利益的驱动，针对政府、大型企业、重要信息行业服务器的病毒传播和攻击越来越多。但是，传统的服务器安全管理大多数采用人工管理的方式，但该方式存在着诸如浪费人力的缺点，当系统规模增大时需要更多的人力进行维护。此外，传统的服务器安全管理往往采用第三方杀毒软件，其杀毒、检测、监测原理机制对用户是完全不透明的，用户不能保证第三方杀毒软件中是否内嵌有其他监听软件，这对重要的信息系统的高度安全留下了隐患。最后，当前主流的杀毒软件，通常采用基于病毒特征码和基于行为的查杀技术，只能针对已知病毒或特殊行为特征的病毒进行查杀，对于未知病毒或处于潜伏状态的病毒无能为力。

本论文主要以内存分析、RootKit监测等技术作为技术支撑，从分析系统内核对象为基础，在进程、线程、系统调用级别上细粒度的监测系统运行的状态，监测系统内存中的异常操作，分析它们的作用机制。对传统的服务器安全监测方式做如下几点改善：

1)   为系统管理员提供自动化的服务端安全监测工具；

2)   完全自主研发，提供完全透明的监测机制，系统管理员可以定制监测名单；

3)   采用基于内核对象的监测技术，保证及时发现病毒；

4)   实时监测进程、内存、CPU、文件系统、注册表、通信端口的变化并以日志形式进行保存。

此外，本文在RootKit监测的实现过程中，重点研究了基于Windows关键内核对象的Hook监测方法，对现有的监测技术进行分析，分析其优缺点，并最终提出自己的监测方法。本文提出的监测方法通过对中断描述符表、系统服务描述符表、PE文件、驱动函数表这四个内核对象进程监测。

本课题最终形成的监测系统为单机版监测工具，现在已经安装至证券信息服务器中，并已稳定运行达三个月。

来源：半壳优胜鲸鱼幸运星转载请保留出处和链接！

本文链接：http://87cpy.com/294087.html