计算机安全监控系统的关键技术探讨.docVIP

计算机安全监控系统的关键技术探讨 　　摘 要 本文主要探究了计算机文本、文件以及用户操作等监控技术，期望为计算机监控技术的研究提供有价值的参考。 　　关键词 计算机 安全监控系统 关键技术 　　中图分类号：TP316.2 文献标识码：A 　　信息技术的高速发展中出现了一个不和谐的现象，给信息安全带来了新的威胁，计算机安全监控系统是保证信息安全的重要机制。该系统工作时主要通过采集相关数据，并按照安全规则进行分析、判定，对违规操作进行阻止，并全程记录操作过程等实现监控功能。 　　1 计算机安全监控对象 　　计算机安全监控对象总的来讲包括信息和操作两类，其中信息主要指系统中文本、文件信息，操作主要是用户进行的操作行为。计算机监控系统的工作是对文本、文件的复制、变更以及用户操纵进行监控、鉴别，并能阻止有关威胁信息的传播。 　　文件是信息的主要载体，尤其在信息安全领域更加重视文件的安全保护。因此，计算机安全监控系统应将文件的保护放在重要地位，尤其对文件的修改、复制、删除等应严密监控，必要情况时应主动干预，防止重要文件的丢失。 　　文本能够直接体现信息的表达形式，文本内容来自的范围比较广泛，文本监控保护主要体现在文本内容的复制上，从而能够有效阻止敏感词汇的传播等。 　　用户操作确定起来难度较大，破坏作用不可估量，因此为了方便监控人为操作带来的巨大损失，计算监控系统主要通过监控键盘、鼠标的行为结合操作对象进行监控，从而防止有害信息在互联网的传播。 　　2 文件变更监控技术 　　文件变更监控主要记录文件目录、文件新建、文件复制、文件修改、文件删除等操作，并且保存更改文件的位置和时间等内容。监控可以具体到指定的存储内容，也可以对整个系统的文件操作进行监控。根据文件监控实现的方法可以将其划分成三个方面：基于Windows API方法、基于拦截系统调用方法以及基于中间层驱动程序的方法。 　　2.1基于Windows API方法 　　Windows应用程序中API是操作系统留给应用程序的一个调用接口，应用程序通过调用操作系统的 API 使操作系统去执行应用程序的命令。其中和文件操作相关的API函数是ReadDirectoryChangesW，该函数对文件的监控主要通过同步和异步两种方式实现。 　　例如，该函数以异步方式工作时，首先通过ReadDirectoryChangesW函数注册回调函数后立即返回，当指定监控事件发生时程序会进入回调函数进行处理，如果该事件需要持续监控，就需要重新调用ReadDirectoryChangesW函数并反复执行该过程完成监控任务。 　　2.2基于拦截系统调用方法 　　拦截系统调用（API Hook）的主要作用是设法对进程中的代码进行监控，当发生API调用时转向编程者事先准备的代码，最终实现拦截调用功能。 　　API Hook执行过程主要包括API拦截和DLL注入两方面内容。应用程序打开文件其工作流程是：首先会调用Kernel32.DLL模块提供的API函数CreateFileA对相关参数进行处理，结束后调用Ntdll.DLL模块提供的API函数NtCreateFileA，然后Ntdll.DLL会执行软中断指令调用相应系统的NtCreateFileA。因此对拦截系统调用只需要将含有监控代码的模块，注入到Ntdll.DLL中，同时拦截NtCreateFileA函数执行的操作，就能对文件的打开操作进行监控。 　　2.3基于中间层驱动程序方法 　　设备驱动程序是管理相关设备的代码，实现数据缓冲区和设备缓冲区的数据交换工作。当进行文件操作时应用程序会将LOCTL控制代码传递给文件设备驱动程序，以此实现文件的相关操作。例如当执行文件的读写操作时需要将LOCTL控制代码中的IRP_MJ_WRITE以及IRP_MJ_READ传给文件设备驱动程序。 　　3 文本复制监控技术 　　文本复制时均首先将复制内容复制到剪贴板上，然后进行粘贴操作。因此，对文本复制进行监控实质上是对剪切板的监控。Windows应用程序中对剪贴板均有访问的权利，复制程序执行时主要通过响（下转第25页）（上接第23页）应剪贴板消息以及利用剪贴板API执行读写操作。众所周知Windows系统由信息触发，剪贴板内容发生变化时Windows会提示剪贴板的变化信息。所以监控系统能够对剪贴板内容实时监控，应能够及时响应和处理触发剪贴板变化信息。剪贴板监控关键技术的实现主要通过两部分实现：注册、注销剪贴板监控链和响应剪贴板的变化信息。 　　3.1注册、注销剪贴板控制链 　　剪贴板监控链主要由剪贴板监控器组成的一种链表结构，Windows系统通过SetClipboardViewer函数将自身注册成监控器，然后将其挂接到监控链上，