基于文件微過濾驅(qū)動的文件監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、隨著網(wǎng)絡(luò)及信息技術(shù)的迅速發(fā)展，給人們生活和工作帶來了翻天覆地的變化及諸多方便。越來越多的個人和單位正在大量的使用計算機(jī)代替?zhèn)鹘y(tǒng)的紙質(zhì)文件來存儲文件和處理文件。計算機(jī)給文件的處理、傳輸和存儲帶來了巨大的方便。大量的文件數(shù)據(jù)也因此產(chǎn)生，同時帶來了文件數(shù)據(jù)的安全問題，種類繁多的惡意軟件或者用戶的操作都可能威脅到文件的安全。當(dāng)用戶在訪問網(wǎng)絡(luò)資源時，可能會接觸到一些不安全的網(wǎng)站并在毫不知情的情況下自動下載一些惡意軟件，它們會在計算機(jī)上潛伏下來并在

2、用戶不知道的情況下在計算機(jī)中創(chuàng)建文件、篡改文件、刪除文件和盜取文件?；蛘哂捎谟脩舻挠幸獠僮?，沒經(jīng)過授權(quán)訪問機(jī)密文件，導(dǎo)致機(jī)密文件的泄露。這些都嚴(yán)重了威脅了計算機(jī)的安全，尤其是一些重要部門，一旦有惡意行為發(fā)生導(dǎo)致機(jī)密文件泄密，造成的損失不可估量。因此文件的安全存儲成為實現(xiàn)信息安全的首要條件。
　　目前市場上出現(xiàn)的文件監(jiān)控系統(tǒng)雖然層出不窮，但是由于采用的核心技術(shù)和運行狀態(tài)的限制，它們或多或少都存在著一些問題。所以本文研究了一種文件監(jiān)控

3、系統(tǒng)，吸取當(dāng)前市場上的文件監(jiān)控系統(tǒng)的精華，去其糟粕，有效的實現(xiàn)文件監(jiān)控，保護(hù)計算機(jī)的文件安全。
　　本文首先介紹了Windows的總體架構(gòu)和講解了一些基礎(chǔ)知識，接著分析了當(dāng)前市場上出現(xiàn)的文件監(jiān)控系統(tǒng)主要采用的三種技術(shù)：第一種技術(shù)是采用Windows提供的API（Application Programming Interface)，優(yōu)點是簡單，缺點監(jiān)控覆蓋面較窄，能獲取的I/O信息有限。第二種是鉤子技術(shù)，鉤子技術(shù)是對文件操作函數(shù)進(jìn)行

4、修改。優(yōu)點是能有效獲取I/O信息，缺點是文件操作函數(shù)較多，所以復(fù)雜程度很高，并且不穩(wěn)定，很容易丟掉 I/O和被惡意軟件欺騙。傳統(tǒng)文件過濾驅(qū)動作為第三種技術(shù)，它能正確的攔截I/O操作，缺點就是開發(fā)過程復(fù)雜，兼容性差。然后提出了一種新的監(jiān)控技術(shù)：文件微過濾驅(qū)動。最后本文研究了文件微過濾驅(qū)動的實現(xiàn)和原理，以及整個監(jiān)控系統(tǒng)的設(shè)計。
　　微過濾驅(qū)動相比于傳統(tǒng)的過濾驅(qū)動具有很大的差別，比傳統(tǒng)的文件過濾驅(qū)動簡單，兼容性高但同時擁有的功能卻不比傳

5、統(tǒng)的文件過濾驅(qū)動差。當(dāng)然也比處在用戶態(tài)的文件監(jiān)控系統(tǒng)高具有高效性，防止欺騙行為，不容易被繞過等特點。本文件監(jiān)控系統(tǒng)通過在驅(qū)動層攔截I/0操作，對I/0操作進(jìn)行分析，并與監(jiān)控設(shè)置進(jìn)行比對，確定此I/0操作是否經(jīng)過授權(quán)。而且此系統(tǒng)還擁有寫日志功能，對I/0操作解析記錄到日志文件，方便用戶查找安全漏洞，或發(fā)現(xiàn)一些異常行為。經(jīng)過試驗測試，本文件監(jiān)控系統(tǒng)的效率是以前監(jiān)控系統(tǒng)的1.5倍，平衡了用戶態(tài)和內(nèi)核態(tài)的文件監(jiān)控系統(tǒng)優(yōu)點和缺點，能有效的實現(xiàn)文件