基于IOCP和规则分析的监控系统服务器实现机制研究

摘要

随着网络攻击技术的不断发展，传统的安全防护手段已经无法有效地保护系统安全，而主机入侵防护系统(HIPS)由于良好的工作机制越来越受到重视。HIPS是近年来新出现的主机防护手段，通过加载与事先定义的安全策略相一致的规则文件，监视被保护计算机的所有输入和输出以及程序的行为等，以求找出攻击的蛛丝马迹并有效地阻止它们。本文研究的主要内容是结合作者在―一机多网‖项目实践中的工作，针对HIPS系统中规则制定困难的缺陷，提出了一种基于C/S架构的局域网内实时监控系统——HGMS(Host Guard Monitoring System)系统。该系统基于HIPS工作原理，主要功能是由服务器端应用程序实现对客户端主机的远程监控和管理。客户端程序作为一种常驻内存的进程运行在各客户端主机上，客户端模块实现对被控计算机的监控、信息的获取和自身进程的保护，并负责将被控计算机上的各种信息和状态发送给服务器，同时对服务器端发送的命令进行响应；服务器端应用程序主要负责监听网络内客户端的请求、对网络通信的处理和对数据库的操作，同时身兼管理功能，包括客户端监控规则的制定和分发、从数据库获取数据进行显示、对被控端主机的监控和操作等。在此基础上，本文重点探究了服务器端应用程序在开发过程中的两大重要实现机制：1、服务器端监控规则集的制定和冲突检测技术研究；2、服务器端与多个客户端之间的并发通信及通信安全问题。一方面，由于规则是在服务器端应用程序统一制定和分发的，针对如何在服务器端保证规则的有效性和一致性问题，本文深入研究了现有安全系统所应用的规则分析技术，重点分析了通用规则配对冲突、比特向量规则冲突和基于策略树规则冲突检测方法的原理，然后结合HGMS系统规则定义的特殊性和复杂性，将比特向量的分析方法融合到策略树冲突检测方法中并结合分类的思想加以改进，给出了一个适用于HGMS系统规则的冲突检测方法，理论分析表明该方法能够有效地检测监控系统的规则冲突，保证规则的一致性和有效性，提高了系统的安全性，具有新意，同时也指出了该方法的局限性和不足之处，明确了进一步工作的方向。另一方面，要实现服务器端应用程序支持海量客户端的请求和数据通信，本文通过对Windows网络模型的分析，提出了一种基于完成端口(IOCP)的通信模块设计方法，用以解决客户端连接量巨大、小容量数据包频繁收发等问题。该模型的核心思想是：将所有客户端的请求都投递到一个消息队列中，利用事先创建好的若干个线程逐一从消息队列中取出消息并加以处理。这样减少了线程资源，大大提高了系统资源的利用率。本文通过介绍完成端口的机制及相关概念，讨论分析了其中的关键问题并给出解决方案，运用IOCP模型成功构建了服务器通信模块，通过测试和性能分析，系统的实现效果得到了证实。最后，在整个系统架构实现的基础之上，探讨了如何利用现今通用的密码学技术来实现网络通信的安全。

目录

摘要

ABSTRACT

第一章 绪论

1.1 网络安全概述

1.1.1 网络安全的重要性

1.1.2 网络安全的现状

1.2 网络安全防御技术概述

1.2.1 常用网络安全防御技术

1.2.2 HIPS 防御技术及缺陷分析

1.3 本文的研究问题与组织结构

1.3.1 本文的研究问题及主要成果

1.3.2 本文的组织结构

1.4 本章小结

第二章 HGMS 监控系统设计概述

2.1 HIPS 系统的进一步研究

2.1.1 HIPS 系统的功能分类

2.1.2 规则的编写法则

2.1.3 规则的形式化定义

2.2 系统设计

2.2.1 系统设计思想和设计策略

2.2.2 系统设计目标和设计原则

2.2.3 系统的体系结构和功能设计

2.3 系统实现的关键技术

2.3.1 规则冲突检测技术

2.3.2 完成端口（IOCP）通信技术

2.3.3 进程保护和隐藏技术

2.3.4 系统调用截获和控制

2.4 本章小结

第三章 系统监控规则分析

3.1 规则分析的重要性

3.2 规则分析技术

3.2.1 概念定义

3.2.2 规则冲突分析的方法分类

3.3 规则冲突检测方法的改进与应用

3.3.1 规则格式分析

3.3.2 改进的冲突检测方法

3.3.3 实际应用举例

3.3.4 结论

3.4 本章小结

第四章 IOCP 通信模式及安全通信

4.1 WINDOWS 网络模型分析

4.2 完成端口机制

4.2.1 相关重要概念

4.2.2 IOCP 应用中存在的问题及解决办法

4.3 IOCP 通信技术在HGMS 监控系统的应用

4.3.1 主要API 函数介绍和数据结构的设计

4.3.2 IOCP 的工作流程

4.3.3 IOCP 模型在服务器中应用的性能分析

4.4 网络通信的安全在HGMS 系统中的应用研究

4.4.1 密码学术语和概念介绍

4.4.2 对安全通信实现的进一步探讨

4.5 本章小结

第五章 HGMS 系统服务器端应用程序的实现

5.1 一机多网项目的总体描述

5.1.1 内、外网模式

5.1.2 内网模式的实现

5.2 服务器端的具体实现

5.2.1 管理模块

5.2.2 通信模块

5.2.3 查看模块

5.2.4 数据库模块

5.3 本章小结

第六章 结论与展望

6.1 主要结论

6.2 研究展望

参考文献

致谢

攻读硕士学位期间已发表或录用的论文