基于进程管理的安全策略分析

doi:10.3969/j.issn.1671-1122.2014.08.011

摘要/Abstract

摘要： 文章针对进程管理的安全性问题,分析了目前进程的类型和特点,并对几种常见恶意进程进行介绍。结合主动查找和监控的思想,提出了一种基于HOOK技术的进程管理安全分析策略。该策略借助Windows消息处理机制、API函数调用技术、数据库技术以及黑白名单规则等,将进程采集、进程分析、响应、黑白名单规则以及数据库添加等功能模块化,从安全性、低耗能、自我保护等方面对计算机系统进程进行监控和管理。系统能够分析出可疑、非法、高内存消耗的恶意进程,实现进程管理的安全运行。文章方案在VC语言平台下,针对局域网环境,分别对上述功能模块进行代码实现,最后从功能性测试（常用进程、进程采集、进程分析等）,运行效率测试（系统自身的内存占用、CPU占用等）两个方面进行实验。实验结果表明,该方案可以安全、快速、准确地实现对系统进程的安全管理、对恶意进程的监控和强制关闭、对系统进程的自我保护功能,减轻安全管理人员监控的负担,从而提高其在网络安全工作中的效率。

关键词: 进程管理, HOOK技术, API函数, 安全性, 自我保护

Abstract: The strategy of the process managements' security and analyses based on hook technology was put forward against the security problems of process management, which analyzing the types and characters of recent vicious process. And under the help of message processing mechanism of Windows, API functions' invocation technologies, database technologies, the rules of black and white list and so on to achieve the modularity of the collection of process, the analysis of process, the responses, the rules of black and white list, the database’s adding and the like to monitor and manage system process from the aspects of security, low power, self-protection and the like. To analyze the malicious process of suspicious, illegal and high memory consumption, this could make the process management operating safely. The results of the experiment validate that under the VC language platform and aiming at LAN environment to achieve the functions’ modularity respectively above mentioned and finally experimenting from two aspects: the test of function (commonly-used process, the collection of process, the analysis of process and so on) as well as the test of operational efficiency (the memory usage of the system itself and the usage of CPU) the project can achieve security management of the system process safely, quickly and accurately, monitoring and force close the vicious process, realize the function of self-protection for system process and lighten the monitoring burdens of the safety regulators, thus improving the efficiency in the work of network security.

Key words: process management, HOOK technology, API function, security, self-protection

中图分类号:

TP309

杨春晖, 严承华. 基于进程管理的安全策略分析[J]. 信息网络安全, 2014, 14(8): 61-66.

YANG Chun-hui, YAN Cheng-hua. The Analysis of the Security Strategy based on Process Management[J]. 信息网络安全, 2014, 14(8): 61-66.

参考文献

[1] 杜海,陈蓉. 基于完全虚拟化的进程监控方法[J]．计算机工程,2009,35（08）：88-89.
[2] 陶文金,敬茂华. 基于HOOK进程监控的设计与实现[J].电脑编程技巧与维护,2009,（16）：99-101.
[3] 舒敬荣,朱安国,齐善明. HOOK API时代码注入方法和函数重定向技术研究[J]. 计算机应用与软件,2009,26（05）：107-110.
[4] 黄华军,王耀钧,姜丽清. 网络钓鱼防御技术研究[J]. 信息网络安全,2012（04）：30-35,42.
[5] 徐小龙,唐瑀,杨庚. 一种基于多移动agent的分布式恶意进程协同识别机制[J]. 计算机应用研究,2013,30（10）：3101-3105.
[6] 刘杨,孟彬. 2013年12月计算机病毒疫情分析[J]. 信息网络安全,2014,（02）：86.
[7] 李振汕. 进程管理在计算机病毒诊断与防治中的作用[J]. 信息网络安全,2009,（09）：58-60.
[8] 杨超,徐如志,杨峰. 基于消息队列的多进程数据处理系统[J]. 计算机工程与设计,2010,31（13）：3128-3131.
[9] 卢立蕾,文伟平. Windows环境木马进程隐藏技术研究[J]. 信息网络安全,2009（05）：35-37,46.
[10] 赵丽影. 基于钩子函数的蜜罐技术[J]. 科技信息,2012,（27）：58,63.
[11] 游智翔. 基于HOOK技术的协议栈移植通用模式的设计与实现[D]. 杭州：浙江大学,2010.
[12] 张涛,牛伟颖,孟正,等. 基于 Windows 内核模式下进程监控的用户权限控制系统设计与实现[J]. 信息网络安全,2014,（04）：13-19.
[13] 苏雪丽,袁丁. Windows下两种API钩挂技术的研究与实现[J]. 计算机工程与设计,2011,32（07）：2548-2552.
[14] 康治平,向宏,傅鹂. 基于API HOOK技术的特洛伊木马攻防研究[J]. 信息安全与通信保密,2007,（02）：145-148.
[15] 丁方剑. 计算机数据库安全管理策略研究[J]. 电子技术与软件工程,2014,（28）：240.
[16] 黄耿星,叶小平,郑焕鑫. 一种网络安全进程管理器系统的设计与研究[J]. 信息网络安全,2013,（01） :68-70.
[17] 杨玉龙,彭长根,周洲. 基于同态加密的防止SQL注入攻击解决方案[J]. 信息网络安全,2014,（01）：30-33.
[18] 姜艳,曾学文,孙鹏. 基于统计分析和预测的低内存进程管理算法[J]. 计算机工程与设计,2014,35（01）：107-111.
[19] 舒梦奇,常宇驰,白润杰,等. 基于专用进程的多动办公安全通信系统研究[J]. 信息网络安全,2013,（04）：59-62.
[20] 王维,李涛,韩俊刚. 一种多线程轻核机器中进程管理的硬件实现[J]. 电子技术应用,2013,39（03）：40-43.
[21] 闫广禄,罗森林. 基于线程调度的隐藏进程检测技术研究[J]. 信息网络安全,2013,（02）：38-40.
[22] 王飞飞,杨好利. 基于RMI的AIX进程监控系统[J]. 电子设计工程,2013,21（21）：25-27.
[23] 冯天树,许学东. Windows木马的各种进程隐藏技术及应对策略[J]. 信息网络安全,2011,（10）：52-55.
[24] 陈少波. 一个微内核操作系统中进程管理的实现[J]. 制造业自动化,2012,34（01）：70-74.
[25] 冯天树,许学东. 一种检测傀儡进程的方法研究[J]. 信息网络安全,2011,（08）：82-83.
[26] 黄夷芯,胡爱群. 基于边界检测的移动智能终端隐私泄露检测方法[J]. 信息网络安全,2014,（01）：21-24.
[27] 许江东. 基于SPI和NDIS HOOK的网络数据包拦截方案研究[J]. 网络安全技术与应用,2012,（02）：51-53.
[28] 段新东,林玉香,张鑫. 基于智能化自学习方式的入侵检测防护系统设计与实现[J]. 信息网络安全,2014,（02）：20-26.
[29] 张民,李正生,吴宁,等. 基于NDIS-HOOK的个人防水墙设计[J]. 电子设计工程,2012,20（12）：46-48.
[30] 徐国天. 远程控制木马通信协议及线索调查方法研究[J]. 信息网络安全,2014,（03）：52-56.
[31] 高晓. Hook及其防御技术探析[J]. 长春工业大学学报：自然科学版,2013,34（06）：686-691.
[32] 夏戈明,史立哲,周文,等. 轻量级RFID双向通信认证协议优化方案[J]. 信息网络安全,2014,（02）：58-62.
[33] 张红旗,刘江,代向东,等. 一种多级跨域访问控制管理模型[J]. 信息网络安全,2014,（02）：1-6.