共查询到20条相似文献,搜索用时 265 毫秒
1.
2.
文章研究了对于不同层次的文件操作行为的提取及监控,旨在针对目前存在的绕过过滤驱动的检测方法进行改进,更加有效地针对恶意软件行为进行监控,多层次提取其文件操作的技术。文章首先概述了文件过滤驱动技术工作原理及当前应用现状,介绍了目前被广泛应用的微文件过滤驱动(Minifilter)技术的开发原理、步骤和应用领域。随后对文件操作的底层行为全过程进行了分析,并对Minifilter在其中的检测原理进行了相关介绍,对其安全性进行分析,提出当前能绕过过滤驱动检测的几种方法原理,包括通过增加过滤驱动以及Hook派遣函数等原理绕过过滤驱动,从而造成过滤驱动无法检测。列出了目前存在的从不同层次绕过过滤驱动的几种攻击方法,包括附着新的过滤驱动,直接访问内核,对底层文件结构的派遣函数进行不同的Hook等。针对其攻击原理进行分析,提出对应的检测方法。通过在原有Minifilter的基础上添加以上几种检测方法,可实现对目前存在的多种攻击手段进行多层次检测,从而添加相应的防护措施。在之后对改进后的过滤驱动进行功能及性能上的针对性测试中,表明改进后的检测驱动能利用更小的时间成完成更深层次的检测。因此,改进后的行为提取技术能绕过普通文件过滤驱动的恶意行为进行拓展检测,更深层次地提取恶意软件的文件操作行为,从而实现对目标程序的可疑文件操作进行更加全面的监控。 相似文献
3.
李珠峰 《数字社区&智能家居》2012,(3X):2045-2047
该文对Windows系统下基于文件过滤驱动的文件动态访问控制技术进行了研究。并对其实现的关键技术进行了详细的分析。通过该技术可以有效的保护文件避免非授权的访问。从而更为有效的保护信息资源安全。 相似文献
4.
5.
6.
基于文件系统过滤驱动的安全增强型加密系统技术研究 总被引:3,自引:1,他引:3
应用层加密系统在实际的应用中一般要求用户在访问文件前手动进行加解密操作,有些系统中文件正常使用时必须以明文形式存储在磁盘上.基于文件系统驱动的加密文件系统减少了用户的参与操作,同时保证了磁盘上文件处于加密状态,但是其在设计与实现上较为复杂.针对上述方法存在的问题,本文采用Windows NT内核操作系统的驱动框架,基于文件系统过滤驱动技术实现对数据进行透明加解密.通过这种方法不仅解决了应用层加密系统存在的不足,与加密文件系统相比开发实现较简单灵活.另外使用智能卡作为加解密密钥的存储容器,进一步增强整个系统的安全性. 相似文献
7.
Windows文件系统过滤驱动在防病毒方面的应用 总被引:3,自引:0,他引:3
在操作系统内核层,对用户模式应用程序请求读写的磁盘数据进行病毒扫描.介绍文件系统过滤驱动的工作原理,利用文件系统过滤驱动,捕获用户应用程序发往目标文件系统驱动的磁盘操作请求,进而获得这些操作请求的处理权.论述防病毒的工作原理,利用文件扫描程序扫描文件系统过滤驱动程序截获的文件数据,并与特征码库中的病毒特征码进行匹配.若匹配成功,则通知用户模式应用程序进行处理;否则,不做处理.防止从磁盘读取病毒文件或将病毒文件写入磁盘. 相似文献
8.
对Web页进行必要的、有效的内容过滤对于营造健康、安全的网络环境具有重要的意义。重现用户成功访问过的Web页内容,可以对网络访问进行事后监督,为过滤机制的完善提供相应数据。文中分析了Web页的访问流程,基于HTTP代理服务器,在应用层实现了对Web页的关键字过滤和基于语义的内容过滤,并通过将客户机成功访问过的Web页存储在代理服务器硬盘上,实现了内容重现。试验表明,语义过滤能较好地甄别文本的不同观点,准确度较单纯关键字过滤有明显提高。 相似文献
9.
文件头中存储加密标识技术的研究与实现 总被引:1,自引:0,他引:1
为了解决目前文件安全方面存在的问题,进一步提高对文件数据的保护强度,对基于文件系统过滤驱动的文件透明加/解密技术进行了研究,针对传统方法在加密标识识别方面存在的不足,提出了文件头保存文件加密标识的方法。该方法通过过滤驱动为密文文件添加一个包含加密标识的文件头,在进行文件操作时通过该加密标识识别密文文件。同时过滤驱动在处理文件的读写操作时,通过设置文件读写偏移跳过文件头,完成正确的读写操作。结合实例,对测试结果进行了分析,验证了该设计的准确性、有效性和可行性。 相似文献
10.
对Web页进行必要的、有效的内容过滤对于营造健康、安全的网络环境具有重要的意义。重现用户成功访问过的Web页内容,可以对网络访问进行事后监督,为过滤机制的完善提供相应数据。文中分析了Web页的访问流程,基于HTTP代理服务器,在应用层实现了对Web页的关键字过滤和基于语义的内容过滤,并通过将客户机成功访问过的Web页存储在代理服务器硬盘上,实现了内容重现。试验表明,语义过滤能较好地甄别文本的不同观点,准确度较单纯关键字过滤有明显提高。 相似文献
11.
工业控制网络的安全防护通常采用防火墙技术和多种复杂的应用层协议协同完成,但是未涉及应用层协议的深入分析。为了更好地保障工控网络数据访问的安全,结合工控网络报文定制性的特点,详细分析了基于应用层协议解析的安全防护策略。该方案在工业防火墙的基础上,通过对工控网络通信协议的报文深入解析,直接在报文层面解析过滤,从而拦截与功能实现无关的报文,并发现隐藏较深的威胁。以OPC协议为例,搭建了基于应用层协议深度解析的工控网络安全仿真测试平台,并利用石化企业现场设备的通信数据对该平台进行了验证。所提出的安防策略为工控网络安全设备的设计和制造提供了一种基于应用层协议解析的方案,具备较高级别的安全性能。 相似文献
12.
许江东 《网络安全技术与应用》2012,(2):51-53
利用NDIS HOOK与SPI相结合在Windows XP下设计了一个基于Winsock2 SPI与NDIS HOOK的网络数据包拦截方案。在应用层利用SPI进行各种应用程序的数据包的过滤,在核心层利用NDIS HOOK来过滤各种非Socket通信的数据包,实现底层的数据包的捕获,从而能更好地过滤数据。 相似文献
13.
Windows下包过滤式防火墙的设计和实现 总被引:1,自引:0,他引:1
在Windows操作系统下设计并实现了一个包过滤式防火墙系统,该系统使用VxD技术实现了对底层网络的访问.利用Visual C 作为编程工具,成功的实现了对数据包的截获、分析以及过滤. 相似文献
14.
马丽君 《网络安全技术与应用》2014,(12):64-64
在如今,防火墙技术已经成为了互联网最重要的安全技术之一。防火墙技术的使用,是抵抗黑客的入侵和防止未经授权而非法访问某些信息节点最有效手段之一。文章深度剖析了防火墙技术所具备的强大功能和特性,并重点讨论了校园网安全的相关内容,指出了在校园网络环境下应如何利用防火墙技术提高校园网络的安全性。 相似文献
15.
Tarek Abbes Adel Bouhoula Michaël Rusinowitch 《International Journal of Information Security》2016,15(3):301-317
The fundamental goals of security policy are to allow uninterrupted access to the network resources for authenticated users and to deny access to unauthenticated users. For this purpose, firewalls are frequently deployed in every size network. However, bad configurations may cause serious security breaches and network vulnerabilities. In particular, conflicted filtering rules lead to block legitimate traffic and to accept unwanted packets. This fact troubles administrators who have to insert and delete filtering rules in a huge configuration file. We propose in this paper a quick method for managing a firewall configuration file. We represent the set of filtering rules by a firewall anomaly tree (FAT). Then, an administrator can update the FAT by inserting and deleting some filtering rules. The FAT modification automatically reveals emerged anomalies and helps the administrator to find the adequate position for a new added filtering rule. All the algorithms presented in the paper have been implemented, and computer experiments show the usefulness of updating the FAT data structure in order to quickly detect anomalies when dealing with a huge firewall configuration file. 相似文献
16.
传统的包过滤防火墙工作在网络层和传输层,根据过滤规则判别的只有网络层和传输层的有限信息,各种安全要求不可能充分满足.本文以Linux为例,在对Linux内核网络接口分析的基础上,通过修改Linux的内核,实现了一个工作在数据链路层的透明包过滤防火墙. 相似文献
17.
网络安全已成为人日益关心的问题,而网络防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,防火墙较常用的技术有应用网关、状态检测、包过滤等技术。在保护内部网络安全的前提下:其主要作用是在网络入口外检查网络通信,设定用户的安全规则,提供内部网络的安全,保障内外网络通信。 相似文献
18.
19.
William M. FitzgeraldAuthor Vitae Simon N. Foley Author Vitae 《Computer Standards & Interfaces》2011,33(1):24-34
Access controls for Semantic Web applications are commonly considered at the level of the application-domain and do not necessarily consider the security controls of the underlying infrastructure to any great extent. Low-level network access controls such as firewalls and proxies are considered part of providing a generic network infrastructure that hosts a variety of Semantic Web applications and is independent of the application-level access control services. For example, it is unusual to include firewall policy rules in an application policy that constrain the kinds of application information different principals may access. As a consequence, an improperly configured infrastructure may unintentionally hinder the normal operation of a Semantic Web application. Simply opening a firewall for HTTP and HTTPS services does not necessarily result in a proper configuration. Taking an ontology-based approach, this paper considers how a firewall configuration should be analyzed with respect to the Semantic Web application(s) that it hosts. 相似文献
20.
日志文件一直都是网络管理人员在检查故障、排除网络错误时,查找“病源”的有利工具。通过对路由器、交换机、防火墙和主机系统的日志分析,可以快速了解网络上的活动,并对刚刚发生的或者正在进行的事件进行快速响应。 相似文献