陳慶良++唐昌建++梁建興

摘 要

本文對網(wǎng)絡(luò)空間中Windows主機(jī)節(jié)點(diǎn)系統(tǒng)信息采集技術(shù)進(jìn)行了研究，設(shè)計(jì)了一套采集軟件，能夠?qū)indows XP/7操作系統(tǒng)主機(jī)信息進(jìn)行采集，監(jiān)控系統(tǒng)狀態(tài)和重要安全事件，記錄系統(tǒng)日志，為病毒和木馬等網(wǎng)絡(luò)行為結(jié)果分析提供數(shù)據(jù)支持。

【關(guān)鍵詞】網(wǎng)絡(luò)空間 系統(tǒng)監(jiān)控 信息采集

在信息系統(tǒng)中操作系統(tǒng)安全對整個(gè)信息系統(tǒng)安全具有至關(guān)重要的作用。由于計(jì)算機(jī)操作系統(tǒng)在本身結(jié)構(gòu)設(shè)計(jì)和代碼設(shè)計(jì)時(shí)偏重考慮系統(tǒng)使用時(shí)的方便性，導(dǎo)致了系統(tǒng)在遠(yuǎn)程訪問、權(quán)限控制和口令管理等許多方面存在安全漏洞，各種病毒、木馬和蠕蟲利用安全漏洞進(jìn)行的網(wǎng)絡(luò)攻擊數(shù)量持續(xù)增長。為了評估網(wǎng)絡(luò)攻擊結(jié)果，需要對被攻擊網(wǎng)絡(luò)主機(jī)節(jié)點(diǎn)信息進(jìn)行采集，監(jiān)控系統(tǒng)狀態(tài)、重要安全事件和系統(tǒng)日志記錄，詳細(xì)分析在攻擊過程中留下的“痕跡”，以便采取相應(yīng)的防范策略。

1 功能需求

1.1 外部接口需求

Windows主機(jī)節(jié)點(diǎn)數(shù)據(jù)采集系統(tǒng)外部接口包括采集項(xiàng)目配置文件、數(shù)據(jù)文件和操作員三類接口。操作員操作采集項(xiàng)目配置軟件，對采集項(xiàng)目進(jìn)行配置，生成配置文件；數(shù)據(jù)采集軟件讀取配置文件，分析采集需求，響應(yīng)用戶操作，采集數(shù)據(jù)，輸出數(shù)據(jù)信息和文件樣本。

Windows主機(jī)節(jié)點(diǎn)數(shù)據(jù)采集系統(tǒng)包括采集項(xiàng)目配置工具軟件和Windows數(shù)據(jù)采集軟件兩個(gè)軟件部件：

（1）采集項(xiàng)目配置工具軟件對采集項(xiàng)目、采集頻率和保存路徑進(jìn)行配置，將配置結(jié)果保存為配置文件，供數(shù)據(jù)采集軟件讀?。惠d入已有配置文件供用戶編輯。

（2）Windows數(shù)據(jù)采集軟件讀取配置文件，響應(yīng)用戶操作，根據(jù)用戶需求采集相關(guān)項(xiàng)目，采集數(shù)據(jù)存入xml文件，文件樣本備份到指定目錄。

1.2 內(nèi)部接口需求

數(shù)據(jù)采集系統(tǒng)運(yùn)行于Windows XP/7操作系統(tǒng)，完成網(wǎng)絡(luò)空間主機(jī)節(jié)點(diǎn)數(shù)據(jù)采集功能，采集項(xiàng)目主要分為三大類型共15個(gè)模塊。

1.2.1 初始一次性采集項(xiàng)目

（1）硬件及驅(qū)動(dòng)配置：采集CPU型號及頻率、內(nèi)存容量、硬件設(shè)備ID及驅(qū)動(dòng)程序版本、外存數(shù)量、型號和容量等信息；

（2）系統(tǒng)版本型號：采集主版本、內(nèi)核版本及已安裝補(bǔ)丁列表等信息；

（3）系統(tǒng)安裝應(yīng)用程序列表：采集名稱、版本信息。

1.2.2 定期采集項(xiàng)目

（1）自啟動(dòng)項(xiàng)：包含啟動(dòng)命令行，即可執(zhí)行文件路徑及參數(shù)等信息；

（2）系統(tǒng)進(jìn)程列表：包含進(jìn)程名、可執(zhí)行文件路徑、PID、UID、進(jìn)程啟動(dòng)時(shí)間、進(jìn)程的線程數(shù)量、CPU占用率、內(nèi)存占用率、使用網(wǎng)絡(luò)端口、進(jìn)程模塊表、關(guān)聯(lián)進(jìn)程（父、子）等信息；

（3）用戶和組：包含名稱、所屬組、權(quán)限、主目錄路徑；

（4）系統(tǒng)服務(wù)：包含服務(wù)名、描述、命令行、狀態(tài)、調(diào)用服務(wù)的用戶等信息；

（5）系統(tǒng)資源占用率：包含CPU占用率、內(nèi)存占用率、磁盤讀寫I/O次數(shù)及磁盤讀寫帶寬等信息；

（6）文件系統(tǒng)：包含加載卷個(gè)數(shù)、卷路徑、卷文件系統(tǒng)、指定目錄文件列表和指定文件樣本等信息；

（7）網(wǎng)絡(luò)適配器配置：包含MAC地址、IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS、鏈路狀態(tài)及NetBios名稱的等信息；

（8）系統(tǒng)日志：包括應(yīng)用程序日志、安全日志和系統(tǒng)日志。

1.2.3 動(dòng)態(tài)監(jiān)視項(xiàng)目

（1）進(jìn)程事件監(jiān)視：采集進(jìn)程創(chuàng)建、刪除事件、進(jìn)程名和命令行信息；

（2）注冊表監(jiān)視：采集鍵路徑、鍵類型、事件前/后鍵值信息；

（3）文件系統(tǒng)活動(dòng)監(jiān)控：采集卷加載及卸載事件、指定文件讀寫事件、指定文件夾讀寫事件信息；

（4）驅(qū)動(dòng)程序事件監(jiān)視：采集驅(qū)動(dòng)安裝及卸載事件、驅(qū)動(dòng)文件路徑和文件樣本信息。

2 系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)空間主機(jī)節(jié)點(diǎn)數(shù)據(jù)采集系統(tǒng)以計(jì)算機(jī)操作系統(tǒng)為基礎(chǔ)，提供基于操作系統(tǒng)的可執(zhí)行程序，完成網(wǎng)絡(luò)空間主機(jī)節(jié)點(diǎn)數(shù)據(jù)采集功能。根據(jù)需求，網(wǎng)絡(luò)空間主機(jī)節(jié)點(diǎn)數(shù)據(jù)采集系統(tǒng)包括“采集項(xiàng)目配置工具軟件”和“Windows數(shù)據(jù)采集軟件”兩個(gè)軟件部件，系統(tǒng)具備的功能如圖1所示。

2.1 采集項(xiàng)目配置工具軟件ItemConfig

ItemConfig是一個(gè)基于對話框的應(yīng)用軟件，提供人機(jī)交互界面，對采集項(xiàng)目和采集頻率以及xml文件保存路徑進(jìn)行配置，將配置信息存入配置文件供數(shù)據(jù)采集軟件讀取。采集項(xiàng)目配置工具軟件功能如圖2所示。

采集項(xiàng)目配置工具采用Visual Studio 6.0進(jìn)行開發(fā)，基于對話框進(jìn)行設(shè)計(jì)，具備如下功能：

（1）對采集項(xiàng)目、采集頻率和保存路徑進(jìn)行配置；

（2）將配置結(jié)果保存為配置文件，供數(shù)據(jù)采集軟件讀??；

（3）載入配置文件供用戶編輯。

2.2 Windows數(shù)據(jù)采集軟件SysInfoCollect

Windows數(shù)據(jù)采集軟件SysInfoCollect采用Visual Studio 2010進(jìn)行開發(fā)，運(yùn)行于Windows XP/7環(huán)境，讀取配置文件，根據(jù)用戶需求采集數(shù)據(jù)，并保存到xml文件中。SysInfoCollect數(shù)據(jù)采集軟件功能列舉如圖3所示。

首先加載配置文件，然后根據(jù)配置文件中的采集項(xiàng)目、采集周期和xml文件保存路徑，啟動(dòng)相應(yīng)的功能模塊進(jìn)行數(shù)據(jù)采集，將采集到的信息保存到相應(yīng)的xml文件中。SysInfoCollect類構(gòu)成說明如表1所示。

SysInfoCollect是一個(gè)基于對話框的多線程軟件：3個(gè)一次性采集項(xiàng)目中硬件及驅(qū)動(dòng)配置中的顯卡等其他硬件設(shè)備信息采集較為耗時(shí)，為了不影響軟件效率，單獨(dú)設(shè)計(jì)一個(gè)線程完成此功能，一次性采集項(xiàng)目中的其余項(xiàng)目采用相應(yīng)的功能模塊完成采集；定期采集項(xiàng)目全部采用多線程設(shè)計(jì)，其中大部分采集項(xiàng)目采用一個(gè)線程實(shí)現(xiàn)，部分采集項(xiàng)目細(xì)分為多個(gè)線程實(shí)現(xiàn)；動(dòng)態(tài)監(jiān)視項(xiàng)目采用多線程設(shè)計(jì)。軟件采用系統(tǒng)API函數(shù)完成大部分?jǐn)?shù)據(jù)采集任務(wù)，采用HOOK技術(shù)截獲系統(tǒng)SHELL層消息，通過旁路注冊表操作函數(shù)來實(shí)現(xiàn)注冊表監(jiān)視，通過監(jiān)控線程與驅(qū)動(dòng)程序通信實(shí)現(xiàn)進(jìn)程監(jiān)控。

3 結(jié)束語

本文對計(jì)算機(jī)網(wǎng)絡(luò)空間Windows平臺主機(jī)節(jié)點(diǎn)數(shù)據(jù)采集技術(shù)進(jìn)行了研究，設(shè)計(jì)了一套windows XP/7平臺下的計(jì)算機(jī)軟硬件信息采集系統(tǒng)，能夠監(jiān)控系統(tǒng)運(yùn)行狀態(tài)和重要安全事件，提取系統(tǒng)日志，為病毒和木馬等網(wǎng)絡(luò)行為結(jié)果分析提供數(shù)據(jù)支持。

參考文獻(xiàn)

[1]Mark E.Russinovich，DavidA.Solomon著，潘愛民譯，深入解析Windows操作系統(tǒng)（第四版）[M].北京：電子工業(yè)出版社，2007.

[2]孫鑫，余安萍.VC++深入詳解[M].北京：電子工業(yè)出版社，2006.

作者單位

中國洛陽電子裝備試驗(yàn)中心 河南省洛陽市 471000