劉意先，行 帥

（西安郵電大學(xué)信息安全與信息對(duì)抗實(shí)驗(yàn)教學(xué)中心，西安710121）

·微機(jī)網(wǎng)絡(luò)與通信·

遠(yuǎn)程計(jì)算機(jī)審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)?

劉意先，行 帥

（西安郵電大學(xué)信息安全與信息對(duì)抗實(shí)驗(yàn)教學(xué)中心，西安710121）

為了實(shí)現(xiàn)對(duì)計(jì)算機(jī)的遠(yuǎn)程審計(jì)，提出了一種客戶端程序和B／S結(jié)構(gòu)程序并用的遠(yuǎn)程計(jì)算機(jī)審計(jì)系統(tǒng)設(shè)計(jì)方法?？蛻舳顺绦蛴糜诓杉?jì)算機(jī)的各種4系統(tǒng)信息和使用記錄，基于JSP的B／S結(jié)構(gòu)程序用于管理員對(duì)審計(jì)數(shù)據(jù)的查看。通過(guò)該系統(tǒng)的實(shí)現(xiàn)，證明該設(shè)計(jì)方法是實(shí)用而有效的。

審計(jì)系統(tǒng)；Windows管理部件；鉤子；Java服務(wù)器腳本

1 引 言

審計(jì)系統(tǒng)在計(jì)算機(jī)安全中起著非常重要的作用［1-2］。通過(guò)審計(jì)系統(tǒng)，管理者可以對(duì)計(jì)算機(jī)的操作起到監(jiān)督作用，有效防止權(quán)限濫用［3］。從審計(jì)記錄還能發(fā)現(xiàn)異常情況，對(duì)可能出現(xiàn)的安全漏洞及早發(fā)現(xiàn)［4-5］。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，計(jì)算機(jī)系統(tǒng)不再是獨(dú)立的信息系統(tǒng)，基于單機(jī)的安全審計(jì)系統(tǒng)越來(lái)越不能滿足需求。特別是對(duì)于單位的信息安全管理者，面對(duì)數(shù)量龐大的主機(jī)群，這就需要有一個(gè)易用而快捷的集中式遠(yuǎn)程安全審計(jì)系統(tǒng)對(duì)所有的主機(jī)操作信息進(jìn)行收集和審計(jì)。這里提出了一個(gè)遠(yuǎn)程計(jì)算機(jī)審計(jì)系統(tǒng)的設(shè)計(jì)方案。該方案通過(guò)本地運(yùn)行程序收集計(jì)算機(jī)的各項(xiàng)信息并上傳至數(shù)據(jù)庫(kù)中，管理者可以通過(guò)Web瀏覽器對(duì)所有的信息進(jìn)行瀏覽和審計(jì)，方便的發(fā)現(xiàn)可能的安全風(fēng)險(xiǎn)或漏洞。

2 系統(tǒng)總體結(jié)構(gòu)

系統(tǒng)主要由兩部分構(gòu)成，一部分是運(yùn)行在被審計(jì)主機(jī)的客戶端程序，功能是收集宿主主機(jī)的各種操作信息；另一部分是可以供管理員訪問(wèn)查看審計(jì)數(shù)據(jù)的服務(wù)器程序，審計(jì)數(shù)據(jù)來(lái)自客戶端程序收集到的信息，這些信息被發(fā)送到數(shù)據(jù)庫(kù)中進(jìn)行存儲(chǔ)。系統(tǒng)整體結(jié)構(gòu)如圖1所示。

2 客戶端對(duì)信息的采集和存儲(chǔ)

客戶端程序主要通過(guò)四個(gè)功能模塊完成數(shù)據(jù)的采集和存儲(chǔ)工作：WMI模塊采集用戶主機(jī)的硬件和系統(tǒng)信息；鉤子模塊主要用來(lái)實(shí)時(shí)捕獲用戶使用程序情況；WinPcap模塊主要用來(lái)實(shí)時(shí)捕獲用戶的網(wǎng)絡(luò)數(shù)據(jù)包并提取出用戶的上網(wǎng)記錄；MYSQL模塊主要負(fù)責(zé)將數(shù)據(jù)存入到遠(yuǎn)程數(shù)據(jù)庫(kù)源。

2.1 通過(guò)WMI獲取主機(jī)信息

WMI最初于1998年作為一個(gè)附加組件與Windows NT 4.0 Service Pack 4一起發(fā)行，是內(nèi)置在Windows2000、WindowsXP和Windows Server 2003系列操作系統(tǒng)中核心的管理支持技術(shù)?；谟蒁istributed Management Task Force（DMTF）所監(jiān)督的業(yè)界標(biāo)準(zhǔn)，WMI是一種規(guī)范和基礎(chǔ)結(jié)構(gòu)，通過(guò)它可以訪問(wèn)、配置、管理和監(jiān)視幾乎所有的Windows資源。WMI的使用要通過(guò)三步實(shí)現(xiàn)，首先初始化，然后創(chuàng)建WMI的名字空間，最后通過(guò)WQL進(jìn)行查詢。WQL是WMI中的查詢語(yǔ)言Windows管理規(guī)范查詢語(yǔ)言［6-7］。

圖1 系統(tǒng)的總體結(jié)構(gòu)

2.2 全局鉤子監(jiān)控程序記錄

鉤子（Hook）是Windows消息處理機(jī)制的一個(gè)平臺(tái)，應(yīng)用程序可以在上面設(shè)置進(jìn)程以監(jiān)視指定窗口的某種消息，而且所監(jiān)視的窗口可以是其他進(jìn)程所創(chuàng)建的。當(dāng)消息到達(dá)后，在目標(biāo)窗口處理函數(shù)之前處理它。鉤子機(jī)制允許應(yīng)用程序截獲處理window消息或特定事件。在使用鉤子時(shí)可以根據(jù)其監(jiān)視范圍的不同將其分為全局鉤子和線程鉤子兩大類(lèi)。其中線程鉤子只能監(jiān)視某個(gè)線程，而全局鉤子則可對(duì)在當(dāng)前系統(tǒng)下運(yùn)行的所有線程進(jìn)行監(jiān)視［8］。

在本系統(tǒng)中采用全局鉤子，使用外殼鉤子WM_ SHELL，由于鉤子是全局的，必須把這個(gè)鉤子定義到動(dòng)態(tài)鏈接庫(kù)里。當(dāng)用戶打開(kāi)程序（程序需要重繪一個(gè)窗口）時(shí)，鉤子程序會(huì)捕獲到用戶的窗口句柄，通過(guò)窗口句柄獲得應(yīng)用程序名。

2.3 通過(guò)WinPcap捕獲上網(wǎng)記錄

WinPcap是一個(gè)基于Win32平臺(tái)的，用于捕獲網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行分析的開(kāi)源庫(kù)［9］。捕獲數(shù)據(jù)的方式分為采用回調(diào)方法捕獲數(shù)據(jù)和不采用回調(diào)方法捕獲數(shù)據(jù)。這兩者的主要區(qū)別在于不采用回調(diào)的方法捕獲數(shù)據(jù)適合用戶體驗(yàn)要求不高的情況，因此在本系統(tǒng)中采用不回調(diào)方法捕獲數(shù)據(jù)，采用下面函數(shù)進(jìn)行捕獲數(shù)據(jù)包：

int cap_next_ex（pcap_t*p，struct pcap_pkthdr **pkt_header，const u_char**pkt_data）；

返回值為1則表示讀取數(shù)據(jù)成功，返回值為0表示讀取時(shí)間超時(shí)未讀取到任何數(shù)據(jù)包。當(dāng)讀取到數(shù)據(jù)包之后就要按照Ip數(shù)據(jù)包格式和tcp數(shù)據(jù)包格式對(duì)數(shù)據(jù)包進(jìn)行分析，從而得出用戶的上網(wǎng)網(wǎng)址。

2.4 上傳數(shù)據(jù)到MySQL數(shù)據(jù)庫(kù)

MySQL是一個(gè)小型關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)，可以通過(guò)結(jié)構(gòu)化查詢語(yǔ)言（SQL）進(jìn)行數(shù)據(jù)庫(kù)管理。從客戶端連接數(shù)據(jù)庫(kù)，首先要進(jìn)行初始化操作如下：

MYSQLmysql；

mysql_init（＆mysql）；

然后進(jìn)行連接：

MYSQL*mysql_real_connect（MYSQL*mysql，const char*host，

const char*user，const char*passwd，

const char*db，unsigned int port，

const char*unix_socket，unsigned long client_ flag）

最后對(duì)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)插入：

intmysql_real_query（MYSQL*mysql，const char*query，unsigned long length）；

其中query是需要執(zhí)行的數(shù)據(jù)庫(kù)操作命令，在系統(tǒng)的客戶端程序中主要是給數(shù)據(jù)庫(kù)插入數(shù)據(jù)，因此主要執(zhí)行的是Insert語(yǔ)句。Length是query語(yǔ)句的長(zhǎng)度。

3 服務(wù)器端對(duì)審計(jì)數(shù)據(jù)的顯示

服務(wù)器端采用B／S架構(gòu)進(jìn)行設(shè)計(jì)，方便管理員對(duì)數(shù)據(jù)查看，可以不受平臺(tái)的限制。所有審計(jì)數(shù)據(jù)已存入了服務(wù)器端的MySQL數(shù)據(jù)庫(kù)，系統(tǒng)采用JSP讀取數(shù)據(jù)并進(jìn)行前端顯示。管理員只要通過(guò)Web瀏覽器進(jìn)行必要的驗(yàn)證就能登入并查看，可以查看用戶列表、用戶的系統(tǒng)信息、應(yīng)用程序使用記錄及上網(wǎng)記錄。如圖2、圖3分別顯示了用戶的應(yīng)用程序使用情況和上網(wǎng)記錄。

圖2 用戶應(yīng)用程序使用情況

圖3 用戶上網(wǎng)記錄

4 結(jié)束語(yǔ)

系統(tǒng)在服務(wù)器端采用B／S結(jié)構(gòu)，為管理員的查看管理提供很大的方便，管理員只需通過(guò)任何帶有瀏覽器的計(jì)算機(jī)即可進(jìn)行查閱，很大程度上增強(qiáng)了本系統(tǒng)的實(shí)用性和移植性。在客戶端方面的程序由于要對(duì)操作系統(tǒng)進(jìn)行開(kāi)發(fā)，因此采用C＋＋語(yǔ)言進(jìn)行開(kāi)發(fā)，這能在一定程度上提高系統(tǒng)的開(kāi)發(fā)效率?？偟膩?lái)說(shuō)，系統(tǒng)既方便了管理員的審計(jì)工作，客戶端程序也能采集到所需信息。

［1］Atymtayeva Lyazzat B，Bortsova Gerda K，Inoue Atsushi，et al.Methodology and ontology of expert system for information security audit［C］.6th International Conference on Soft Computing and Intelligent Systems，and 13th International Symposium on Advanced Intelligence Systems，Kobe：IEEE，2012.

［2］Liu Jing，Wang Xiaoni，Jiao Dongliang，et al.Research and design of security audit system for compliance［C］.Proceedings of2012 International Symposium on Information Technologies in Medicine and Education，Hokodate： IEEE Sapporo Sect，2012.

［3］Pereira Teresa，Dinis Santos Henrique M.An audit framework to support information system security management［J］.International Journal of Electronic Security and Digital Forensics，2010，3（3）：265-277.

［4］Kozhakhmet K，Bortsova G，Inoue A，Atymtayeva L.Expert System for Security Audit using fuzzy logic［C］.Proceedings of the 23rd Midwest Artificial Intelligence and Cognitive Science Conference，Cincinnati：MAICS，2012.

［5］Yu Yong，Niu Lei，Yang Guomin，et al.On the security of auditingmechanisms for secure cloud storage［J］.Future Generation Computer Systems，2014，30（1）：127-132.

［6］李志偉，李岳.基于計(jì)算機(jī)資源知識(shí)庫(kù)的安全預(yù)警系統(tǒng)設(shè)計(jì)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2013（1）：55-58，65.

［7］陳晶寧，康緋，馬亞南，王軍博.基于WMI技術(shù)的進(jìn)程靜音模型研究［J］.計(jì)算機(jī)工程與應(yīng)用，2012（27）：79-83，89.

［8］陳學(xué)軍.Windows平臺(tái)下串口通信數(shù)據(jù)實(shí)時(shí)獲取與監(jiān)測(cè)［J］.自動(dòng)化儀表，2012（3）：66-69.

［9］沈輝，張龍.基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測(cè)及分析［J］.計(jì)算機(jī)科學(xué)，2012，S2：15-18，29.

Design and Im plementation on Remote Com puter Audition System

LIU Yi-xian，XING Shuai
（Information Security and Countermeasure Experiment Teaching Center of Xi’an University of Posts and Telecommunications，Xi’an 710121，China）

To implement the remote auditing to the computers，this paper proposes a design method of remote audition system by using both client program and B／S structure program.The client program is used to capture various system information and the operation records.The B／S structure program，based on JSP，is for administrator to view the audition data.By implementation of the system，thismethod is proved that it is useful and effective.

Audition system；WMI；Hook；JSP

10.3969／j.issn.1002-2279.2014.04.011

TP309

：A

：1002-2279（2014）04-0032-03

國(guó)家自然科學(xué)基金資助項(xiàng)目（60234030）；國(guó)家自然科學(xué)基金資助項(xiàng)目（61301091）；陜西省自然科學(xué)基礎(chǔ)研究計(jì)劃項(xiàng)目（2012JQ8045）；西安郵電大學(xué)青年教師科研基金資助項(xiàng)目（ZL2012-03）；西安郵電大學(xué)青年教師科研基金資助項(xiàng)目（ZL2012-22）

劉意先（1980-），男，成都人，碩士研究生，工程師，主研方向：軟件理論、網(wǎng)絡(luò)與信息安全。

2014-02-10