陳慶良++唐昌建++梁建興

摘 要

本文對網(wǎng)絡(luò)空間中Windows主機節(jié)點系統(tǒng)信息采集技術(shù)進行了研究，設(shè)計了一套采集軟件，能夠?qū)indows XP/7操作系統(tǒng)主機信息進行采集，監(jiān)控系統(tǒng)狀態(tài)和重要安全事件，記錄系統(tǒng)日志，為病毒和木馬等網(wǎng)絡(luò)行為結(jié)果分析提供數(shù)據(jù)支持。

【關(guān)鍵詞】網(wǎng)絡(luò)空間 系統(tǒng)監(jiān)控 信息采集

在信息系統(tǒng)中操作系統(tǒng)安全對整個信息系統(tǒng)安全具有至關(guān)重要的作用。由于計算機操作系統(tǒng)在本身結(jié)構(gòu)設(shè)計和代碼設(shè)計時偏重考慮系統(tǒng)使用時的方便性，導致了系統(tǒng)在遠程訪問、權(quán)限控制和口令管理等許多方面存在安全漏洞，各種病毒、木馬和蠕蟲利用安全漏洞進行的網(wǎng)絡(luò)攻擊數(shù)量持續(xù)增長。為了評估網(wǎng)絡(luò)攻擊結(jié)果，需要對被攻擊網(wǎng)絡(luò)主機節(jié)點信息進行采集，監(jiān)控系統(tǒng)狀態(tài)、重要安全事件和系統(tǒng)日志記錄，詳細分析在攻擊過程中留下的“痕跡”，以便采取相應(yīng)的防范策略。

1 功能需求

1.1 外部接口需求

Windows主機節(jié)點數(shù)據(jù)采集系統(tǒng)外部接口包括采集項目配置文件、數(shù)據(jù)文件和操作員三類接口。操作員操作采集項目配置軟件，對采集項目進行配置，生成配置文件；數(shù)據(jù)采集軟件讀取配置文件，分析采集需求，響應(yīng)用戶操作，采集數(shù)據(jù)，輸出數(shù)據(jù)信息和文件樣本。

Windows主機節(jié)點數(shù)據(jù)采集系統(tǒng)包括采集項目配置工具軟件和Windows數(shù)據(jù)采集軟件兩個軟件部件：

（1）采集項目配置工具軟件對采集項目、采集頻率和保存路徑進行配置，將配置結(jié)果保存為配置文件，供數(shù)據(jù)采集軟件讀取；載入已有配置文件供用戶編輯。

（2）Windows數(shù)據(jù)采集軟件讀取配置文件，響應(yīng)用戶操作，根據(jù)用戶需求采集相關(guān)項目，采集數(shù)據(jù)存入xml文件，文件樣本備份到指定目錄。

1.2 內(nèi)部接口需求

數(shù)據(jù)采集系統(tǒng)運行于Windows XP/7操作系統(tǒng)，完成網(wǎng)絡(luò)空間主機節(jié)點數(shù)據(jù)采集功能，采集項目主要分為三大類型共15個模塊。

1.2.1 初始一次性采集項目

（1）硬件及驅(qū)動配置：采集CPU型號及頻率、內(nèi)存容量、硬件設(shè)備ID及驅(qū)動程序版本、外存數(shù)量、型號和容量等信息；

（2）系統(tǒng)版本型號：采集主版本、內(nèi)核版本及已安裝補丁列表等信息；

（3）系統(tǒng)安裝應(yīng)用程序列表：采集名稱、版本信息。

1.2.2 定期采集項目

（1）自啟動項：包含啟動命令行，即可執(zhí)行文件路徑及參數(shù)等信息；

（2）系統(tǒng)進程列表：包含進程名、可執(zhí)行文件路徑、PID、UID、進程啟動時間、進程的線程數(shù)量、CPU占用率、內(nèi)存占用率、使用網(wǎng)絡(luò)端口、進程模塊表、關(guān)聯(lián)進程（父、子）等信息；

（3）用戶和組：包含名稱、所屬組、權(quán)限、主目錄路徑；

（4）系統(tǒng)服務(wù)：包含服務(wù)名、描述、命令行、狀態(tài)、調(diào)用服務(wù)的用戶等信息；

（5）系統(tǒng)資源占用率：包含CPU占用率、內(nèi)存占用率、磁盤讀寫I/O次數(shù)及磁盤讀寫帶寬等信息；

（6）文件系統(tǒng)：包含加載卷個數(shù)、卷路徑、卷文件系統(tǒng)、指定目錄文件列表和指定文件樣本等信息；

（7）網(wǎng)絡(luò)適配器配置：包含MAC地址、IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS、鏈路狀態(tài)及NetBios名稱的等信息；

（8）系統(tǒng)日志：包括應(yīng)用程序日志、安全日志和系統(tǒng)日志。

1.2.3 動態(tài)監(jiān)視項目

（1）進程事件監(jiān)視：采集進程創(chuàng)建、刪除事件、進程名和命令行信息；

（2）注冊表監(jiān)視：采集鍵路徑、鍵類型、事件前/后鍵值信息；

（3）文件系統(tǒng)活動監(jiān)控：采集卷加載及卸載事件、指定文件讀寫事件、指定文件夾讀寫事件信息；

（4）驅(qū)動程序事件監(jiān)視：采集驅(qū)動安裝及卸載事件、驅(qū)動文件路徑和文件樣本信息。

2 系統(tǒng)設(shè)計

網(wǎng)絡(luò)空間主機節(jié)點數(shù)據(jù)采集系統(tǒng)以計算機操作系統(tǒng)為基礎(chǔ)，提供基于操作系統(tǒng)的可執(zhí)行程序，完成網(wǎng)絡(luò)空間主機節(jié)點數(shù)據(jù)采集功能。根據(jù)需求，網(wǎng)絡(luò)空間主機節(jié)點數(shù)據(jù)采集系統(tǒng)包括“采集項目配置工具軟件”和“Windows數(shù)據(jù)采集軟件”兩個軟件部件，系統(tǒng)具備的功能如圖1所示。

2.1 采集項目配置工具軟件ItemConfig

ItemConfig是一個基于對話框的應(yīng)用軟件，提供人機交互界面，對采集項目和采集頻率以及xml文件保存路徑進行配置，將配置信息存入配置文件供數(shù)據(jù)采集軟件讀取。采集項目配置工具軟件功能如圖2所示。

采集項目配置工具采用Visual Studio 6.0進行開發(fā)，基于對話框進行設(shè)計，具備如下功能：

（1）對采集項目、采集頻率和保存路徑進行配置；

（2）將配置結(jié)果保存為配置文件，供數(shù)據(jù)采集軟件讀取；

（3）載入配置文件供用戶編輯。

2.2 Windows數(shù)據(jù)采集軟件SysInfoCollect

Windows數(shù)據(jù)采集軟件SysInfoCollect采用Visual Studio 2010進行開發(fā)，運行于Windows XP/7環(huán)境，讀取配置文件，根據(jù)用戶需求采集數(shù)據(jù)，并保存到xml文件中。SysInfoCollect數(shù)據(jù)采集軟件功能列舉如圖3所示。

首先加載配置文件，然后根據(jù)配置文件中的采集項目、采集周期和xml文件保存路徑，啟動相應(yīng)的功能模塊進行數(shù)據(jù)采集，將采集到的信息保存到相應(yīng)的xml文件中。SysInfoCollect類構(gòu)成說明如表1所示。

SysInfoCollect是一個基于對話框的多線程軟件：3個一次性采集項目中硬件及驅(qū)動配置中的顯卡等其他硬件設(shè)備信息采集較為耗時，為了不影響軟件效率，單獨設(shè)計一個線程完成此功能，一次性采集項目中的其余項目采用相應(yīng)的功能模塊完成采集；定期采集項目全部采用多線程設(shè)計，其中大部分采集項目采用一個線程實現(xiàn)，部分采集項目細分為多個線程實現(xiàn)；動態(tài)監(jiān)視項目采用多線程設(shè)計。軟件采用系統(tǒng)API函數(shù)完成大部分數(shù)據(jù)采集任務(wù)，采用HOOK技術(shù)截獲系統(tǒng)SHELL層消息，通過旁路注冊表操作函數(shù)來實現(xiàn)注冊表監(jiān)視，通過監(jiān)控線程與驅(qū)動程序通信實現(xiàn)進程監(jiān)控。

3 結(jié)束語

本文對計算機網(wǎng)絡(luò)空間Windows平臺主機節(jié)點數(shù)據(jù)采集技術(shù)進行了研究，設(shè)計了一套windows XP/7平臺下的計算機軟硬件信息采集系統(tǒng)，能夠監(jiān)控系統(tǒng)運行狀態(tài)和重要安全事件，提取系統(tǒng)日志，為病毒和木馬等網(wǎng)絡(luò)行為結(jié)果分析提供數(shù)據(jù)支持。

參考文獻

[1]Mark E.Russinovich，DavidA.Solomon著，潘愛民譯，深入解析Windows操作系統(tǒng)（第四版）[M].北京：電子工業(yè)出版社，2007.

[2]孫鑫，余安萍.VC++深入詳解[M].北京：電子工業(yè)出版社，2006.

作者單位

中國洛陽電子裝備試驗中心 河南省洛陽市 471000