摘 要 本文主要探究了計(jì)算機(jī)文本、文件以及用戶操作等監(jiān)控技術(shù)，期望為計(jì)算機(jī)監(jiān)控技術(shù)的研究提供有價(jià)值的參考。

關(guān)鍵詞 計(jì)算機(jī) 安全監(jiān)控系統(tǒng) 關(guān)鍵技術(shù)

中圖分類號(hào)：TP316.2 文獻(xiàn)標(biāo)識(shí)碼：A

信息技術(shù)的高速發(fā)展中出現(xiàn)了一個(gè)不和諧的現(xiàn)象，給信息安全帶來(lái)了新的威脅，計(jì)算機(jī)安全監(jiān)控系統(tǒng)是保證信息安全的重要機(jī)制。該系統(tǒng)工作時(shí)主要通過(guò)采集相關(guān)數(shù)據(jù)，并按照安全規(guī)則進(jìn)行分析、判定，對(duì)違規(guī)操作進(jìn)行阻止，并全程記錄操作過(guò)程等實(shí)現(xiàn)監(jiān)控功能。

1 計(jì)算機(jī)安全監(jiān)控對(duì)象

計(jì)算機(jī)安全監(jiān)控對(duì)象總的來(lái)講包括信息和操作兩類，其中信息主要指系統(tǒng)中文本、文件信息，操作主要是用戶進(jìn)行的操作行為。計(jì)算機(jī)監(jiān)控系統(tǒng)的工作是對(duì)文本、文件的復(fù)制、變更以及用戶操縱進(jìn)行監(jiān)控、鑒別，并能阻止有關(guān)威脅信息的傳播。

文件是信息的主要載體，尤其在信息安全領(lǐng)域更加重視文件的安全保護(hù)。因此，計(jì)算機(jī)安全監(jiān)控系統(tǒng)應(yīng)將文件的保護(hù)放在重要地位，尤其對(duì)文件的修改、復(fù)制、刪除等應(yīng)嚴(yán)密監(jiān)控，必要情況時(shí)應(yīng)主動(dòng)干預(yù)，防止重要文件的丟失。

文本能夠直接體現(xiàn)信息的表達(dá)形式，文本內(nèi)容來(lái)自的范圍比較廣泛，文本監(jiān)控保護(hù)主要體現(xiàn)在文本內(nèi)容的復(fù)制上，從而能夠有效阻止敏感詞匯的傳播等。

用戶操作確定起來(lái)難度較大，破壞作用不可估量，因此為了方便監(jiān)控人為操作帶來(lái)的巨大損失，計(jì)算監(jiān)控系統(tǒng)主要通過(guò)監(jiān)控鍵盤(pán)、鼠標(biāo)的行為結(jié)合操作對(duì)象進(jìn)行監(jiān)控，從而防止有害信息在互聯(lián)網(wǎng)的傳播。

2 文件變更監(jiān)控技術(shù)

文件變更監(jiān)控主要記錄文件目錄、文件新建、文件復(fù)制、文件修改、文件刪除等操作，并且保存更改文件的位置和時(shí)間等內(nèi)容。監(jiān)控可以具體到指定的存儲(chǔ)內(nèi)容，也可以對(duì)整個(gè)系統(tǒng)的文件操作進(jìn)行監(jiān)控。根據(jù)文件監(jiān)控實(shí)現(xiàn)的方法可以將其劃分成三個(gè)方面：基于Windows API方法、基于攔截系統(tǒng)調(diào)用方法以及基于中間層驅(qū)動(dòng)程序的方法。

2.1基于Windows API方法

Windows應(yīng)用程序中API是操作系統(tǒng)留給應(yīng)用程序的一個(gè)調(diào)用接口，應(yīng)用程序通過(guò)調(diào)用操作系統(tǒng)的 API 使操作系統(tǒng)去執(zhí)行應(yīng)用程序的命令。其中和文件操作相關(guān)的API函數(shù)是ReadDirectoryChangesW，該函數(shù)對(duì)文件的監(jiān)控主要通過(guò)同步和異步兩種方式實(shí)現(xiàn)。

例如，該函數(shù)以異步方式工作時(shí)，首先通過(guò)ReadDirectoryChangesW函數(shù)注冊(cè)回調(diào)函數(shù)后立即返回，當(dāng)指定監(jiān)控事件發(fā)生時(shí)程序會(huì)進(jìn)入回調(diào)函數(shù)進(jìn)行處理，如果該事件需要持續(xù)監(jiān)控，就需要重新調(diào)用ReadDirectoryChangesW函數(shù)并反復(fù)執(zhí)行該過(guò)程完成監(jiān)控任務(wù)。

2.2基于攔截系統(tǒng)調(diào)用方法

攔截系統(tǒng)調(diào)用（API Hook）的主要作用是設(shè)法對(duì)進(jìn)程中的代碼進(jìn)行監(jiān)控，當(dāng)發(fā)生API調(diào)用時(shí)轉(zhuǎn)向編程者事先準(zhǔn)備的代碼，最終實(shí)現(xiàn)攔截調(diào)用功能。

API Hook執(zhí)行過(guò)程主要包括API攔截和DLL注入兩方面內(nèi)容。應(yīng)用程序打開(kāi)文件其工作流程是：首先會(huì)調(diào)用Kernel32.DLL模塊提供的API函數(shù)CreateFileA對(duì)相關(guān)參數(shù)進(jìn)行處理，結(jié)束后調(diào)用Ntdll.DLL模塊提供的API函數(shù)NtCreateFileA，然后Ntdll.DLL會(huì)執(zhí)行軟中斷指令調(diào)用相應(yīng)系統(tǒng)的NtCreateFileA。因此對(duì)攔截系統(tǒng)調(diào)用只需要將含有監(jiān)控代碼的模塊，注入到Ntdll.DLL中，同時(shí)攔截NtCreateFileA函數(shù)執(zhí)行的操作，就能對(duì)文件的打開(kāi)操作進(jìn)行監(jiān)控。

2.3基于中間層驅(qū)動(dòng)程序方法

設(shè)備驅(qū)動(dòng)程序是管理相關(guān)設(shè)備的代碼，實(shí)現(xiàn)數(shù)據(jù)緩沖區(qū)和設(shè)備緩沖區(qū)的數(shù)據(jù)交換工作。當(dāng)進(jìn)行文件操作時(shí)應(yīng)用程序會(huì)將LOCTL控制代碼傳遞給文件設(shè)備驅(qū)動(dòng)程序，以此實(shí)現(xiàn)文件的相關(guān)操作。例如當(dāng)執(zhí)行文件的讀寫(xiě)操作時(shí)需要將LOCTL控制代碼中的IRP_MJ_WRITE以及IRP_MJ_READ傳給文件設(shè)備驅(qū)動(dòng)程序。

3 文本復(fù)制監(jiān)控技術(shù)

文本復(fù)制時(shí)均首先將復(fù)制內(nèi)容復(fù)制到剪貼板上，然后進(jìn)行粘貼操作。因此，對(duì)文本復(fù)制進(jìn)行監(jiān)控實(shí)質(zhì)上是對(duì)剪切板的監(jiān)控。Windows應(yīng)用程序中對(duì)剪貼板均有訪問(wèn)的權(quán)利，復(fù)制程序執(zhí)行時(shí)主要通過(guò)響（下轉(zhuǎn)第25頁(yè)）（上接第23頁(yè)）應(yīng)剪貼板消息以及利用剪貼板API執(zhí)行讀寫(xiě)操作。眾所周知Windows系統(tǒng)由信息觸發(fā)，剪貼板內(nèi)容發(fā)生變化時(shí)Windows會(huì)提示剪貼板的變化信息。所以監(jiān)控系統(tǒng)能夠?qū)糍N板內(nèi)容實(shí)時(shí)監(jiān)控，應(yīng)能夠及時(shí)響應(yīng)和處理觸發(fā)剪貼板變化信息。剪貼板監(jiān)控關(guān)鍵技術(shù)的實(shí)現(xiàn)主要通過(guò)兩部分實(shí)現(xiàn)：注冊(cè)、注銷剪貼板監(jiān)控鏈和響應(yīng)剪貼板的變化信息。

3.1注冊(cè)、注銷剪貼板控制鏈

剪貼板監(jiān)控鏈主要由剪貼板監(jiān)控器組成的一種鏈表結(jié)構(gòu)，Windows系統(tǒng)通過(guò)SetClipboardViewer函數(shù)將自身注冊(cè)成監(jiān)控器，然后將其掛接到監(jiān)控鏈上，當(dāng)剪貼板事件被觸發(fā)時(shí)剪貼板消息會(huì)在監(jiān)控鏈上傳遞，當(dāng)監(jiān)控器獲得消息后就會(huì)對(duì)其進(jìn)行處理。結(jié)束剪貼板消息時(shí)，系統(tǒng)會(huì)調(diào)用ChangeClipboardChain函數(shù)將自身的監(jiān)控器注銷。

3.2響應(yīng)剪貼板消息

當(dāng)剪貼板信息發(fā)生變化時(shí)將觸發(fā)Windows的一個(gè)消息，同時(shí)會(huì)將觸發(fā)的消息傳遞給ClipboardViewerChain的第一個(gè)窗口，當(dāng)每個(gè)窗口對(duì)該消息響應(yīng)和處理后，需將其傳遞給下一個(gè)ClipboardViewer窗口。

剪貼板內(nèi)容的讀取主要通過(guò)Windows剪貼板中的API實(shí)現(xiàn)，用戶只需提取剪貼板中對(duì)自身有用的數(shù)據(jù)類型即可。

4 人為操作監(jiān)控技術(shù)

人為操作監(jiān)控技術(shù)主要通過(guò)監(jiān)控鼠標(biāo)和鍵盤(pán)行為實(shí)現(xiàn)。Window消息處理時(shí)允許程序建立消息掛鉤函數(shù)，通過(guò)該函數(shù)能夠?qū)崿F(xiàn)對(duì)消息傳遞線路的監(jiān)控。系統(tǒng)會(huì)將各種信息傳遞給對(duì)應(yīng)的掛鉤函數(shù)進(jìn)行處理，這些掛鉤函數(shù)會(huì)根據(jù)自己的功能對(duì)相關(guān)信息進(jìn)行監(jiān)控。

Windows掛鉤函數(shù)能夠響應(yīng)系統(tǒng)中多種類型的消息，其中包括鼠標(biāo)和鍵盤(pán)事件消息。掛鉤函數(shù)執(zhí)行的具體步驟是：首先由SetWindowsHookEx函數(shù)注冊(cè)Hook，并定義Hook掛接的事件類型和用于處理消息的掛鉤回調(diào)函數(shù)Hook Procedure，當(dāng)事件發(fā)生時(shí)相關(guān)信息會(huì)進(jìn)入掛鉤函數(shù)進(jìn)行處理，處理結(jié)束后通過(guò)相關(guān)函數(shù)將掛鉤函數(shù)卸載。

5 總結(jié)

計(jì)算機(jī)安全監(jiān)控系統(tǒng)能夠?qū)崿F(xiàn)計(jì)算機(jī)各項(xiàng)信息和擁護(hù)操作的監(jiān)控。通過(guò)對(duì)文本、文件和擁護(hù)操作的監(jiān)控的探究，能夠選擇有效的應(yīng)對(duì)措施，提高監(jiān)控工作效率，為計(jì)算機(jī)系統(tǒng)的安全運(yùn)行奠定堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)

[1] 李文靜，徐宏炳.計(jì)算機(jī)安全監(jiān)控系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用研究，2003（7）.

[2] 于揚(yáng)，楊澤紅，賈培發(fā).計(jì)算機(jī)安全監(jiān)控系統(tǒng)的關(guān)鍵技術(shù)研究[J ].計(jì)算機(jī)工程，2007（24）.