摘要:随着计算机技术和网络技术的发展,内网安全问题变得日益严重,为应对这一问题,主机行为安全性检测成为当前内网安全研究中的之一。现有的主机行为安全检测技术主要是截取网络数据包和获取内存数据进行统计分析,但这两种技术有一定的局限性。其
中,截取网络数据包分析需要与网络速度匹配,受网络带宽限制,而且由于网络流量大,检测会消耗大量系统资源。对内存数据进行分析虽然有很多优点,但获取内存数据的实时性要求较高且内存数据的易失性导致其分析上的局限性。交换分区在物理上是硬盘的一部分,逻
辑上是内存的扩充,在Windows操作系统中又称虚拟内存,用以提高系统运行效率。其主要功能是:当物理内存不足时,操作系统就会把内存中暂时不用的内容交换到交换分区中,从而扩大物理内存的容量。相关资料表明,交换分区中包含了计算机用户大量的操作行为信息,
如访问网站的网址、收发的E-mail、浏览的图片等。因此,研究基于交换分区的主机行为检测技术具有重要意义。 由于交换分区是操作系统管理的系统文件,传统的应用层文件访问技术无法对该文件进行访问,造成了对交换分区的定位、获取困难。另外,由于交换分区中的数据是二进制序列数据,难以直接理解其含义。为此,我们重点分析了FAT32和NTFS两种文件系统的组织形式,设计了一种从硬盘上直接读取交换分区文件(pagefile.sys)的底层获取技术。在此基础上,我们进一步设计了以下三种技术对主机行为进行安全检测:网站访问行为模式匹配技术、E-mail地址信息检测技术、JPEG文件雕刻技术。通过以上技术,设计了基于交换分区的主机行为安全检测系统,该系统可以分析主机用户的网络访问、E-mail收发以及JPEG文件浏览等操作行为,能够实现对主机行为的安全性检测。性能及功能
测试结果表明,该系统支持FAT32和NTFS文件系统,能够在Windows2000、2003、XP及Vista等操作系统上运行,可有效对主机用户浏览互联网和文件访问等行为进行检测。该系统可应用于内网信息的监管、青少年上网行为管控、数字取证等方面,具有良好的经济效益和社会效益。
一:相关技术探究
交换分区是内存的扩展,其中包含有大量相关内存数据,相关资料表明,交换分区中包含大量用户主机行为信息,但目前对交换分区相关技术的研究较为少见。美国NTI(New Technology Inc)公司研制了基于交换分区的GetFree产品,用于计算机犯罪取证调查,但是其研究成果并未公开发表;另外,韩国学者Lee等人也展开了对基于交换分区分析的研究工作。由于交换分区中数据的重要性,研究交换分区相关技术意义重大。
通过Windows应用层API技术并不能访问交换分区文件,因此,我们拟通过分析文件系统数据结构及其关系,找到一种获取交换分区文件的方法。交换分区的大小一般为物理内存的1.5倍到2.5倍,其容量大而且其中都是二进制序列数据导致一定的检测困难。为了提高检测效率,我们拟采用KMP算法。KMP算法是经典的字符串匹配算法,
在自然语言研究领域已得到广泛的应用。我们对KMP算法进行了深入分析和改进,并将其应用于交换分区检测过程中,提高交换分区的检测效率。另外,交换分区中数据是按照内存页面进行存储的,其元数据保留在内存中,因此当系统关机时,交换分区中数据的元数据也将丢失,为了分析交换分区中用户浏览或者访问的文件,必须对其中数据进行雕刻,因此,我们拟分析JPEG文件类型特征,设计基于JPEG文件类型的雕刻算法,识别出交换分区中的JPEG文件,用以检测主机浏览JPEG文件的行为。
二: 研究内容分析
为实现该项目的设计目的,我们采取模块化实现方法,将系统分为四大模块,具体结构如图 1 所示:
从系统实现方案图中可以看出,系统实现的关键在于:“一个技术”、“两个算法”、“三种模式”。其中,“一个技术”指交换分区数据的底层获取技术,是系统实现的核心和难点;“两个算法”指模式匹配算法和 JPEG 文件雕刻算法,是系统实现的重要方法;“三种模式”指网址特征模式、E-mail信息特征模式和 JPEG 文件特征模式,是系统实现的基本要素。由此,本系统的研究内容可分为以下四个方面:
(1)交换分区数据底层获取技术
此技术是该项目的核心和难点。我们在重点分析 FAT32 和 NTFS 文件系统的基础上,从硬盘的存储结构入手,逆向分析不同文件系统底层数据结构及其关系,得到获取交换分区位置的算法并通过活动分区标识,确定pagefile.sys 所在的分区位置。在交换分区的底层获取技术中,难点是:交换分区pagefile.sys 的定位。
(2)基于 KMP 算法的字符串匹配技术
结合本系统的特点,深入分析匹配机制,应用 KMP 算法,减小匹配失配回溯次数,提高匹配效率,实现快速扫描。
(3)网络行为模式库构建技术
网址特征模式指主机域名系统的特征模式,如“.com”、“.net”;E-mail 信息特征模式指邮箱地址特征模式,如“…@ ….com”、“…@ ….cn”。我们建立了一整套的特征模式用于匹配交换分区中的数据,从中提取出主机的网络访问和收发 E-mail 行为的相关信息。
(4)基于 JPEG 文件类型特征标识的雕刻算法
识别 JPEG 文件类型的一般方法,如基于文件扩展名的识别,有一定的局限性,因为可通过改变文件的后缀达到欺骗的目的。但 JPEG 文件的头标识信息是无法改动的。所谓头标识信息是指文件存储代码的最开始一部分编码,它标识了文件的本质特征类型。另外,通过引入 JPEG 文件熵值特征分析技术,可排除交换分区中无用数据的干扰。我们从这两个角度入手设计 JPEG 文件雕刻算法,可有效还原出存在于交换分区中的 JPEG 文件。该技术的难点为:JPEG 文件起始位置定位和 JPEG 文件类型的确定。
三:实验及结果概述
为测试该系统的各项功能和性能,我们从网址信息的查找、E-mail地址信息的查找、JPEG文件雕刻三个角度测试了该系统,同时为检测该系统的运行效率,我们测试了不同主机情况(如表1所示)该系统执行以上三项功能时的运行时间。具体结果如表2,表3,:
从表2可以看出,该系统可以从交换分区中得到大量的网址、E-mail和JPEG文件信息,实现了预定的设计目标。由数据可以看出,E-mail信息要远少于网址信息,符合人们的使用规律,证明了该系统检测的有效性。
由表3数据可以发现,对交换分区的检查速度较慢。这是因为交换分区一般为物理内存的1.5倍到2.5倍,容量较大,全部检测需要一定时间。
四:总结分析与概述
基于交换分区的主机行为安全检测较好地克服了传统的内网安全防护技术的局限性,其创新性体现在以下三个方面:
(1)设计出一种交换分区文件的底层获取技术
交换分区文件中二进制数据的完整性、可读性差,分析难度大。我们在深入分析 FAT32 和 NTFS 文件系统中硬盘的组织形式、文件的存储和访问机制的基础上,克服传统应用层文件访问技术的局限性,设计出交换分区文件的底层获取技术,实现对交换分区文件的快速获取和高效查询,为基于交换分区的主机行为安全检测奠定了坚实基础。
(2)提供一种有效的网络行为检测机制
系统通过分析 Internet网站和 E-mail 地址信息建立网络访问特征模式,对交换分区的内容进行模式匹配,提供了一种有效的网络行为检测机制。
(3)设计出一种基于文件头标识和熵值特征的文件雕刻算法
分析 JPEG 文件基本结构,通过获取其文件头标识和熵值特征,设计出一种基于文件头标识和熵值特征的文件雕刻算法,实现对交换分区内 JPEG 文件的雕刻。
五:未来发展
(1)构建敏感文本信息特征模式库,实现对敏感文本信息的检测,可进一步增强系统的安全检测能力,更好地解决内网和主机的安全问题。
(2)通过分析应用广泛的 Word、PDF、PPT 等类型文件的文件头标志和熵值特征,进一步丰富常见文件特征模式库,扩大文件雕刻功能的适用范围。