1、隨著企事業(yè)單位內(nèi)網(wǎng)安全問(wèn)題的日益凸顯，近年來(lái)，主機(jī)監(jiān)控與審計(jì)產(chǎn)品越來(lái)越受到企事業(yè)單位的青睞。該產(chǎn)品能夠有效防止企事業(yè)單位內(nèi)部員工對(duì)網(wǎng)絡(luò)資源的濫用，防范機(jī)密敏感信息的泄漏，并且能夠?yàn)槭潞笞凡樘峁徲?jì)記錄。但是，由于該類產(chǎn)品的設(shè)計(jì)和實(shí)現(xiàn)技術(shù)方式較多，應(yīng)用部署環(huán)境復(fù)雜多樣，產(chǎn)品的部分模塊存在安全漏洞，這可能導(dǎo)致該類產(chǎn)品的監(jiān)控功能失效。因此，該類產(chǎn)品的安全性也漸漸成為了一個(gè)亟待解決的問(wèn)題。本文作者在國(guó)家保密科技測(cè)評(píng)中心實(shí)習(xí)期間，對(duì)20多個(gè)國(guó)內(nèi)不

2、同廠商的主機(jī)監(jiān)控與審計(jì)產(chǎn)品進(jìn)行了測(cè)試研究，發(fā)現(xiàn)該類產(chǎn)品普遍在功能模塊和客戶端代理程序上存在安全漏洞，利用這些漏洞可以繞過(guò)部分監(jiān)控功能，甚至可以輕易地使客戶端代理程序失效。
　　本論文重點(diǎn)介紹了作者對(duì)該類產(chǎn)品功能模塊和自身安全兩個(gè)方面安全性分析研究的成果，具體介紹了3個(gè)功能模塊安全漏洞和3種破壞客戶端代理程序安全的手段。該類產(chǎn)品功能模塊普遍存在三個(gè)安全漏洞:1.通過(guò)修改進(jìn)程的匹配信息，能夠繞過(guò)進(jìn)程監(jiān)控功能;2.通過(guò)IP-MAC地址的

3、靜態(tài)綁定、ARP欺騙包的攔截以及數(shù)據(jù)包的截取/篡改/發(fā)送等手段，能夠使非授權(quán)接入監(jiān)控功能失效;3.日志的關(guān)聯(lián)性分析功能缺失，導(dǎo)致主機(jī)監(jiān)控與審計(jì)產(chǎn)品只能通過(guò)匹配特征庫(kù)來(lái)捕獲已知異常，對(duì)于未知異常則無(wú)能為力。在產(chǎn)品自身安全方面，通過(guò)對(duì)隱藏進(jìn)程/文件的檢測(cè)、破壞雙進(jìn)程保護(hù)以及刪除自啟動(dòng)項(xiàng)等手段，能夠終止客戶端代理程序以及篡改本地日志/配置文件，從而使客戶端代理程序失效。
　　論文中還介紹了作者開(kāi)發(fā)的一個(gè)測(cè)試工具，該測(cè)試工具的大部分功能已