計算機安全監控系統的關鍵技術探討

計算機安全監控系統的關鍵技術探討

　　摘要：本文主要探究了計算機文本、文件以及用戶操作等監控技術。期望為計算機監控技術的研究提供有價值的參考。

　　關鍵詞：計算機 安全監控系統 關鍵技術

　　信息技術的高速發展中出現了一個不和諧的現象，給信息安全帶來了新的威脅，計算機安全監控系統是保證信息安全的重要機制。該系統工作時主要通過采集相關數據，并按照安全規則進行分析、判定，對違規操作進行阻止，并全程記錄操作過程等實現監控功能。

　　1、計算機安全監控對象

　　計算機安全監控對象總的來講包括信息和操作兩類，其中信息主要指系統中文本、文件信息，操作主要是用戶進行的操作行為。計算機監控系統的工作是對文本、文件的復制、變更以及用戶操縱進行監控、鑒別，并能阻止有關威脅信息的傳播。

　　文件是信息的主要載體，尤其在信息安全領域更加重視文件的安全保護。因此，計算機安全監控系統應將文件的保護放在重要地位，尤其對文件的修改、復制、刪除等應嚴密監控，必要情況時應主動干預，防止重要文件的丟失。

　　文本能夠直接體現信息的表達形式，文本內容來自的范圍比較廣泛，文本監控保護主要體現在文本內容的復制上，從而能夠有效阻止敏感詞匯的傳播等。

　　用戶操作確定起來難度較大，破壞作用不可估量，因此為了方便監控人為操作帶來的巨大損失，計算監控系統主要通過監控鍵盤、鼠標的行為結合操作對象進行監控，從而防止有害信息在互聯網的傳播。

　　2、文件變更監控技術

　　文件變更監控主要記錄文件目錄、文件新建、文件復制、文件修改、文件刪除等操作，并且保存更改文件的位置和時間等內容。監控可以具體到指定的存儲內容，也可以對整個系統的文件操作進行監控 根據文件監控實現的方法可以將其劃分成三個方面：基于Windows API方法、基于攔截系統調用方法以及基于中間層驅動程序的方法。

　　2.1基于Windows API方法

　　Windows應用程序中API是操作系統留給應用程序的一個調用接口，應用程序通過調用操作系統的API使操作系統去執行應用程序的命令。其中和文件操作相關的API函數是ReadDirectoryChangesW，該函數對文件的監控主要通過同步和異步兩種方式實現。例如，該函數以異步方式工作時，首先通過ReadDi.rectoryChangesW 函數注冊回調函數后立即返回，當指定監控事件發生時程序會進入回調函數進行處理，如果該事件需要持續監控，就需要重新調用ReadDirector— yChangesW 函數并反復執行該過程完成監控任務。

　　2.2基于攔截系統調用方法

　　攔截系統調用(API Hook)的主要作用是設法對進程中的代碼進行監控，當發生API調用時轉向編程者事先準備的代碼，最終實現攔截調用功能。

　　API Hook執行過程主要包括API攔截和DLL注入兩方面內容。應用程序打開文件其工作流程是：首先會調用Kernel32.DLL模塊提供的API函數 CreateFileA對相關參數進行處理，結束后調用Ntdl1.DLL模塊提供的API函數NtCreateFileA，然后Ntdl1.DLL會執行軟中斷指令調用相應系統的NtCreateFileA。因此對攔截系統調用只需要將含有監控代碼的模塊，注入到Ntdl1.DLL中，同時攔截 NtCreateFileA函數執行的操作，就能對文件的打開操作進行監控。

　　2. 3基于中間層驅動程序方法

　　設備驅動程序是管理相關設備的代碼，實現數據緩沖區和設備緩沖區的數據交換工作。當進行文件操作時應用程序會將LOCTL控制代碼傳遞給文件設備驅動程序，以此實現文件的相關操作。例如當執行文件的讀寫操作時需要將LOCTL 控制代碼中的IRP MJ WRITE 以及IRP MJ READ傳給文件設備驅動程序。

　　3、文本復制監控技術

　　文本復制時均首先將復制內容復制到剪貼板上，然后進行粘貼操作。因此，對文本復制進行監控實質上是對剪切板的監控。Windows應用程序中對剪貼板均有訪問的權利，復制程序執行時主要通過響應剪貼板消息以及利用剪貼板API執行讀寫操作。眾所周知Windows系統由信息觸發，剪貼板內容發生變化時 Windows會提示剪貼板的變化信息。所以監控系統能夠對剪貼板內容實時監控，應能夠及時響應和處理觸發剪貼板變化信息。剪貼板監控關鍵技術的實現主要通過兩部分實現：注冊、注銷剪貼板監控鏈和響應剪貼板的變化信息。

　　3.1注冊、注銷剪貼板控制

　　鏈剪貼板監控鏈主要由剪貼板監控器組成的一種鏈表結構，Windows系統通過SetC1ipboardViewer函數將自身注冊成監控器，然后將其掛接到監控鏈上，當剪貼板事件被觸發時剪貼板消息會在監控鏈上傳遞，當監控器獲得消息后就會對其進行處理。結束剪貼板消息時，系統會調用 ChangeClipboardChain函數將自身的監控器注銷。

　　3.2響應剪貼板消息

　　當剪貼板信息發生變化時將觸發Windows的一個消息，同時會將觸發的消息傳遞給ClipboardViewerChain的第一個窗口，當每個窗口對該消息響應和處理后，需將其傳遞給下一個ClipboardViewer窗口。剪貼板內容的讀取主要通過Windows剪貼板中的API實現，用戶只需提取剪貼板中對自身有用的數據類型即可。

　　4、人為操作監控技術

　　人為操作監控技術主要通過監控鼠標和鍵盤行為實現。Window消息處理時允許程序建立消息掛鉤函數，通過該函數能夠實現對消息傳遞線路的監控。系統會將各種信息傳遞給對應的掛鉤函數進行處理，這些掛鉤函數會根據自己的功能對相關信息進行監控。

　　Windows掛鉤函數能夠響應系統中多種類型的消息，其中包括鼠標和鍵盤事件消息。掛鉤函數執行的具體步驟是：首先由 SetWindowsHookEx函數注冊Hook，并定義Hook掛接的事件類型和用于處理消息的掛鉤回調函數Hook Procedure，當事件發生時相關信息會進入掛鉤函數進行處理，處理結束后通過相關函數將掛鉤函數卸載。

　　5、總結

　　計算機安全監控系統能夠實現計算機各項信息和擁護操作的監控。通過對文本、文件和擁護操作的監控的探究，能夠選擇有效的應對措施，提高監控工作效率，為計算機系統的安全運行奠定堅實的基礎。

【計算機安全監控系統的關鍵技術探討】相關文章：

計算機安全監控系統技術論文11-08

鋁電解計算機遠程監控系統論文11-11

網絡安全態勢感知系統關鍵技術研究02-24

《計算機系統結構》課程教學改革探討11-27

計算機安全弱點及關鍵技術研究論文02-20

淺析水電站計算機監控系統網絡結構分析02-25

體育教學質量監控體系探討12-06

淺談高職計算機系統維護與網絡應用課程設置探討12-07

航空電信技術系統關鍵技術問題論文02-23