局域網主機文件監(jiān)控系統的設計與實現.pdf

1、隨著計算機網絡技術的飛速發(fā)展和企業(yè)對網絡技術應用的不斷增多，局域網內部安全問題已成為人們越來越關注的一個問題，而局域網內部安全問題的根本，是主機的文件及進程的安全問題。本文以局域網文件進程監(jiān)控系統為基礎，重點介紹了基于NT內核的文件監(jiān)控系統的設計與實現問題。 主機的文件系統，一直是非法用戶操縱主機的一個重要途徑，因此對文件系統的監(jiān)控，是實現系統安全的一個有效手段。對文件系統的監(jiān)控可分為用戶態(tài)監(jiān)控和內核態(tài)監(jiān)控兩種。用戶態(tài)的文件監(jiān)控

2、通常是通過鉤掛WindowsAPI函數方式實現，它實現容易，但效率低，易被繞過；內核態(tài)的文件監(jiān)控通常采用文件過濾驅動技術實現，其實施難度大，但具有可移植性好、對用戶透明性高及效率高等優(yōu)點，能對文件系統實行有效的監(jiān)控。 文件過濾驅動技術就是在NT內核態(tài)截獲I/O管理器向文件系統驅動路由的IRP，在IRP進入到文件系統驅動之前，執(zhí)行用戶自定義的例程，從而實現對文件系統添加各種新的擴展操作功能。本文建立自己的規(guī)則匹配模型，采用基于內核