基于Windows的主機(jī)監(jiān)控與審計產(chǎn)品安全性分析和測試研究.pdf

1、隨著企事業(yè)單位內(nèi)網(wǎng)安全問題的日益凸顯，近年來，主機(jī)監(jiān)控與審計產(chǎn)品越來越受到企事業(yè)單位的青睞。該產(chǎn)品能夠有效防止企事業(yè)單位內(nèi)部員工對網(wǎng)絡(luò)資源的濫用，防范機(jī)密敏感信息的泄漏，并且能夠為事后追查提供審計記錄。但是，由于該類產(chǎn)品的設(shè)計和實現(xiàn)技術(shù)方式較多，應(yīng)用部署環(huán)境復(fù)雜多樣，產(chǎn)品的部分模塊存在安全漏洞，這可能導(dǎo)致該類產(chǎn)品的監(jiān)控功能失效。因此，該類產(chǎn)品的安全性也漸漸成為了一個亟待解決的問題。本文作者在國家保密科技測評中心實習(xí)期間，對20多個國內(nèi)不

2、同廠商的主機(jī)監(jiān)控與審計產(chǎn)品進(jìn)行了測試研究，發(fā)現(xiàn)該類產(chǎn)品普遍在功能模塊和客戶端代理程序上存在安全漏洞，利用這些漏洞可以繞過部分監(jiān)控功能，甚至可以輕易地使客戶端代理程序失效。
　　本論文重點介紹了作者對該類產(chǎn)品功能模塊和自身安全兩個方面安全性分析研究的成果，具體介紹了3個功能模塊安全漏洞和3種破壞客戶端代理程序安全的手段。該類產(chǎn)品功能模塊普遍存在三個安全漏洞:1.通過修改進(jìn)程的匹配信息，能夠繞過進(jìn)程監(jiān)控功能;2.通過IP-MAC地址的

3、靜態(tài)綁定、ARP欺騙包的攔截以及數(shù)據(jù)包的截取/篡改/發(fā)送等手段，能夠使非授權(quán)接入監(jiān)控功能失效;3.日志的關(guān)聯(lián)性分析功能缺失，導(dǎo)致主機(jī)監(jiān)控與審計產(chǎn)品只能通過匹配特征庫來捕獲已知異常，對于未知異常則無能為力。在產(chǎn)品自身安全方面，通過對隱藏進(jìn)程/文件的檢測、破壞雙進(jìn)程保護(hù)以及刪除自啟動項等手段，能夠終止客戶端代理程序以及篡改本地日志/配置文件，從而使客戶端代理程序失效。
　　論文中還介紹了作者開發(fā)的一個測試工具，該測試工具的大部分功能已