Windows下网络空间主机节点信息采集.docVIP

Windows下网络空间主机节点信息采集 　　摘 要 　　本文对网络空间中Windows主机节点系统信息采集技术进行了研究，设计了一套采集软件，能够对windows XP/7操作系统主机信息进行采集，监控系统状态和重要安全事件，记录系统日志，为病毒和木马等网络行为结果分析提供数据支持。 　　【关键词】网络空间 系统监控 信息采集 　　在信息系统中操作系统安全对整个信息系统安全具有至关重要的作用。由于计算机操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞，各种病毒、木马和蠕虫利用安全漏洞进行的网络攻击数量持续增长。为了评估网络攻击结果，需要对被攻击网络主机节点信息进行采集，监控系统状态、重要安全事件和系统日志记录，详细分析在攻击过程中留下的“痕迹”，以便采取相应的防范策略。 　　1 功能需求 　　1.1 外部接口需求 　　Windows主机节点数据采集系统外部接口包括采集项目配置文件、数据文件和操作员三类接口。操作员操作采集项目配置软件，对采集项目进行配置，生成配置文件；数据采集软件读取配置文件，分析采集需求，响应用户操作，采集数据，输出数据信息和文件样本。 　　Windows主机节点数据采集系统包括采集项目配置工具软件和Windows数据采集软件两个软件部件： 　　（1）采集项目配置工具软件对采集项目、采集频率和保存路径进行配置，将配置结果保存为配置文件，供数据采集软件读取；载入已有配置文件供用户编辑。 　　（2）Windows数据采集软件读取配置文件，响应用户操作，根据用户需求采集相关项目，采集数据存入xml文件，文件样本备份到指定目录。 　　1.2 内部接口需求 　　数据采集系统运行于Windows XP/7操作系统，完成网络空间主机节点数据采集功能，采集项目主要分为三大类型共15个模块。 　　1.2.1 初始一次性采集项目 　　（1）硬件及驱动配置：采集CPU型号及频率、内存容量、硬件设备ID及驱动程序版本、外存数量、型号和容量等信息； 　　（2）系统版本型号：采集主版本、内核版本及已安装补丁列表等信息； 　　（3）系统安装应用程序列表：采集名称、版本信息。 　　1.2.2 定期采集项目 　　（1）自启动项：包含启动命令行，即可执行文件路径及参数等信息； 　　（2）系统进程列表：包含进程名、可执行文件路径、PID、UID、进程启动时间、进程的线程数量、CPU占用率、内存占用率、使用网络端口、进程模块表、关联进程（父、子）等信息； 　　（3）用户和组：包含名称、所属组、权限、主目录路径； 　　（4）系统服务：包含服务名、描述、命令行、状态、调用服务的用户等信息； 　　（5）系统资源占用率：包含CPU占用率、内存占用率、磁盘读写I/O次数及磁盘读写带宽等信息； 　　（6）文件系统：包含加载卷个数、卷路径、卷文件系统、指定目录文件列表和指定文件样本等信息； 　　（7）网络适配器配置：包含MAC地址、IP地址、子网掩码、网关、DNS、链路状态及NetBios名称的等信息； 　　（8）系统日志：包括应用程序日志、安全日志和系统日志。 　　1.2.3 动态监视项目 　　（1）进程事件监视：采集进程创建、删除事件、进程名和命令行信息； 　　（2）注册表监视：采集键路径、键类型、事件前/后键值信息； 　　（3）文件系统活动监控：采集卷加载及卸载事件、指定文件读写事件、指定文件夹读写事件信息； 　　（4）驱动程序事件监视：采集驱动安装及卸载事件、驱动文件路径和文件样本信息。 　　2 系统设计 　　网络空间主机节点数据采集系统以计算机操作系统为基础，提供基于操作系统的可执行程序，完成网络空间主机节点数据采集功能。根据需求，网络空间主机节点数据采集系统包括“采集项目配置工具软件”和“Windows数据采集软件”两个软件部件，系统具备的功能如图1所示。 　　2.1 采集项目配置工具软件ItemConfig 　　ItemConfig是一个基于对话框的应用软件，提供人机交互界面，对采集项目和采集频率以及xml文件保存路径进行配置，将配置信息存入配置文件供数据采集软件读取。采集项目配置工具软件功能如图2所示。 　　采集项目配置工具采用Visual Studio 6.0进行开发，基于对话框进行设计，具备如下功能： 　　（1）对采集项目、采集频率和保存路径进行配置； 　　（2）将配置结果保存为配置文件，供数据采集软件读取； 　　（3）载入配置文件供用户编辑。 　　2.2 Windows数据采集软件SysInfoCollect 　　Windows数据采集软件SysInfoCollect采用Vis