技术分享 | 「天地和兴」基于MiniFilter的工控主机安全防护技术
发布时间:
2018-04-24
来源:
作者:
访问量:
78
MiniFilter,即微过滤驱动框架,是微软当前极力推荐的一种新型过滤器模型。在讨论MiniFilter之前不得不提一下逻辑过滤器模型,这是一种比较古老的模型,直到今天仍然有很多场景在使用。没有对比就没有伤害,我们决定从如下几个方面对比下。
兼容性
MiniFilter模型相对Legacy Filter模型具有更好的兼容性,我所谈的兼容性不单单指在和其它Filter共处时的兼容性,它更多的是对Windows后续版本的兼容性,毕竟它是Windows目前推广的过滤器模型,我想在很长一段时间不用担心它会被Windows遗弃!
而且,MiniFilter模型可以完全兼容Sfilter,并且你可以用MiniFilter模型来写Legacy Filter,关于这方面的最好例子就是WDK开发包中MiniFilter目录下的CDO工程。
在工控领域,各个行业的主机系统windows版本各异,而且几乎不可能做操作系统版本升级,所以软件的高兼容性显得尤为重要。
易用性
提供可重入的接口,如FltCreateFile(Ex),FltReadFile和 FltWriteFile;
实现了用户态与核心态的双向通讯机制(同步或异步),打破了传统的CDO,共享内存等通讯方式,这对需要核心态与用户态交互完成任务的过滤器来说是莫大的好处;
实现了对上下文(包括Stream,Stream Handle,File,Instance和Volume)的安全管理;
开发接口更加清晰,具体体现在实例的挂接通知,文件名的获取与分析,上下文的清除通知,屏蔽FASTIO接口以及IRP的前、后处理,同步、异步处理机制等上面;
目前,MiniFilter主要被用于文件保护,文件重定向,文件加解密框架和系统关键文件监控。那么,MiniFilter技术的流程图如图表 1所示,MiniFilter基本是基于内核实现的,简单点来说,它就是一个驱动框架。
另外,Filter管理器随Windows一起被安装,但它只在一个MiniFilter驱动被加载时才会起作用。Filter管理器绑定到目标卷的文件系统栈上。Minifilter驱动为它要过滤的I/O操作而通过向filter管理器注册来间接绑定到文件系统栈上。
图表 1
工控领域的主机,由于行业和建设时间上的差异,操作系统版本各异,从Windows XP,Windows Server 2008,Windows 7,Windows 8和Windows10,还有基于这些版本上的各种补丁版本,等等。而且,工控主机的硬件性能也是千差万别,主机上运行的工控业务软件对实时性的要求也特别高,安装的主机防护系统尽量不影响工控业务软件运行。
所以就对工控行业的主机安全防护系统提出了如下的要求:
a) 多操作系统兼容性;
b) 轻量化;
c) 功能插件化;
d) 分布式;
应对这种新的形势,天地和兴研发了基于MiniFilter的主机防护系统V3.0.由于,工控主机操作系统因为各种原因,几乎很难对系统和业务软件进行升级,所以对于各种威胁程序,主机防护系统一般采用程序白名单,黑名单结合使用的方法。MiniFilter用于对程序文件的保护,防篡改和运行授权。
主机安全防护系统分为工控主机端和管控平台两大组成部分。工控主机端主要包括安全巡检、主机加固、病毒查杀、程序控制、主动防御、本体自检、日志审计和事件告警八个模块;管控平台主要包括安全管理、后台管理、日志管理、系统配置;旨在提高用户发现工控主机系统存在的安全风险的能力,帮助工控主机提高自身抵御内外部风险的能力,当安全攻击事件发生时,使用户能够及时获得通知并作出处理,用户可批量管控工控主机,简化配置操作。
解更多产品详情,敬请期待2018年“4.29首都网络安全日”系列活动之北京国际互联网科技博览会 天地和兴工控安全新品发布。
主题演讲:天地和兴工控安全新品发布
时间:2018年4月26日14:05-14:35
地点:北京展览馆 北京国际互联网科技博览会 新品发布区
相关资讯
