計算機安全監控系統的關(guān)鍵技術(shù)探討

　　摘要：本文主要探究了計算機文本、文件以及用戶(hù)操作等監控技術(shù)。期望為計算機監控技術(shù)的研究提供有價(jià)值的參考。

　　關(guān)鍵詞：計算機 安全監控系統 關(guān)鍵技術(shù)

　　信息技術(shù)的高速發(fā)展中出現了一個(gè)不和諧的現象，給信息安全帶來(lái)了新的威脅，計算機安全監控系統是保證信息安全的重要機制。該系統工作時(shí)主要通過(guò)采集相關(guān)數據，并按照安全規則進(jìn)行分析、判定，對違規操作進(jìn)行阻止，并全程記錄操作過(guò)程等實(shí)現監控功能。

　　1、計算機安全監控對象

　　計算機安全監控對象總的來(lái)講包括信息和操作兩類(lèi)，其中信息主要指系統中文本、文件信息，操作主要是用戶(hù)進(jìn)行的操作行為。計算機監控系統的工作是對文本、文件的復制、變更以及用戶(hù)操縱進(jìn)行監控、鑒別，并能阻止有關(guān)威脅信息的傳播。

　　文件是信息的主要載體，尤其在信息安全領(lǐng)域更加重視文件的安全保護。因此，計算機安全監控系統應將文件的保護放在重要地位，尤其對文件的修改、復制、刪除等應嚴密監控，必要情況時(shí)應主動(dòng)干預，防止重要文件的丟失。

　　文本能夠直接體現信息的表達形式，文本內容來(lái)自的范圍比較廣泛，文本監控保護主要體現在文本內容的復制上，從而能夠有效阻止敏感詞匯的傳播等。

　　用戶(hù)操作確定起來(lái)難度較大，破壞作用不可估量，因此為了方便監控人為操作帶來(lái)的巨大損失，計算監控系統主要通過(guò)監控鍵盤(pán)、鼠標的行為結合操作對象進(jìn)行監控，從而防止有害信息在互聯(lián)網(wǎng)的傳播。

　　2、文件變更監控技術(shù)

　　文件變更監控主要記錄文件目錄、文件新建、文件復制、文件修改、文件刪除等操作，并且保存更改文件的位置和時(shí)間等內容。監控可以具體到指定的存儲內容，也可以對整個(gè)系統的文件操作進(jìn)行監控 根據文件監控實(shí)現的方法可以將其劃分成三個(gè)方面：基于Windows API方法、基于攔截系統調用方法以及基于中間層驅動(dòng)程序的方法。

　　2.1基于Windows API方法

　　Windows應用程序中API是操作系統留給應用程序的一個(gè)調用接口，應用程序通過(guò)調用操作系統的API使操作系統去執行應用程序的命令。其中和文件操作相關(guān)的API函數是ReadDirectoryChangesW，該函數對文件的監控主要通過(guò)同步和異步兩種方式實(shí)現。例如，該函數以異步方式工作時(shí)，首先通過(guò)ReadDi.rectoryChangesW 函數注冊回調函數后立即返回，當指定監控事件發(fā)生時(shí)程序會(huì )進(jìn)入回調函數進(jìn)行處理，如果該事件需要持續監控，就需要重新調用ReadDirector— yChangesW 函數并反復執行該過(guò)程完成監控任務(wù)。

　　2.2基于攔截系統調用方法

　　攔截系統調用(API Hook)的主要作用是設法對進(jìn)程中的代碼進(jìn)行監控，當發(fā)生API調用時(shí)轉向編程者事先準備的代碼，最終實(shí)現攔截調用功能。

　　API Hook執行過(guò)程主要包括API攔截和DLL注入兩方面內容。應用程序打開(kāi)文件其工作流程是：首先會(huì )調用Kernel32.DLL模塊提供的API函數 CreateFileA對相關(guān)參數進(jìn)行處理，結束后調用Ntdl1.DLL模塊提供的API函數NtCreateFileA，然后Ntdl1.DLL會(huì )執行軟中斷指令調用相應系統的NtCreateFileA。因此對攔截系統調用只需要將含有監控代碼的模塊，注入到Ntdl1.DLL中，同時(shí)攔截 NtCreateFileA函數執行的操作，就能對文件的打開(kāi)操作進(jìn)行監控。

　　2. 3基于中間層驅動(dòng)程序方法

　　設備驅動(dòng)程序是管理相關(guān)設備的代碼，實(shí)現數據緩沖區和設備緩沖區的數據交換工作。當進(jìn)行文件操作時(shí)應用程序會(huì )將LOCTL控制代碼傳遞給文件設備驅動(dòng)程序，以此實(shí)現文件的相關(guān)操作。例如當執行文件的讀寫(xiě)操作時(shí)需要將LOCTL 控制代碼中的IRP MJ WRITE 以及IRP MJ READ傳給文件設備驅動(dòng)程序。

　　3、文本復制監控技術(shù)

　　文本復制時(shí)均首先將復制內容復制到剪貼板上，然后進(jìn)行粘貼操作。因此，對文本復制進(jìn)行監控實(shí)質(zhì)上是對剪切板的監控。Windows應用程序中對剪貼板均有訪(fǎng)問(wèn)的權利，復制程序執行時(shí)主要通過(guò)響應剪貼板消息以及利用剪貼板API執行讀寫(xiě)操作。眾所周知Windows系統由信息觸發(fā)，剪貼板內容發(fā)生變化時(shí) Windows會(huì )提示剪貼板的變化信息。所以監控系統能夠對剪貼板內容實(shí)時(shí)監控，應能夠及時(shí)響應和處理觸發(fā)剪貼板變化信息。剪貼板監控關(guān)鍵技術(shù)的實(shí)現主要通過(guò)兩部分實(shí)現：注冊、注銷(xiāo)剪貼板監控鏈和響應剪貼板的變化信息。

　　3.1注冊、注銷(xiāo)剪貼板控制

　　鏈剪貼板監控鏈主要由剪貼板監控器組成的一種鏈表結構，Windows系統通過(guò)SetC1ipboardViewer函數將自身注冊成監控器，然后將其掛接到監控鏈上，當剪貼板事件被觸發(fā)時(shí)剪貼板消息會(huì )在監控鏈上傳遞，當監控器獲得消息后就會(huì )對其進(jìn)行處理。結束剪貼板消息時(shí)，系統會(huì )調用 ChangeClipboardChain函數將自身的監控器注銷(xiāo)。

　　3.2響應剪貼板消息

　　當剪貼板信息發(fā)生變化時(shí)將觸發(fā)Windows的一個(gè)消息，同時(shí)會(huì )將觸發(fā)的消息傳遞給ClipboardViewerChain的第一個(gè)窗口，當每個(gè)窗口對該消息響應和處理后，需將其傳遞給下一個(gè)ClipboardViewer窗口。剪貼板內容的讀取主要通過(guò)Windows剪貼板中的API實(shí)現，用戶(hù)只需提取剪貼板中對自身有用的數據類(lèi)型即可。

　　4、人為操作監控技術(shù)

　　人為操作監控技術(shù)主要通過(guò)監控鼠標和鍵盤(pán)行為實(shí)現。Window消息處理時(shí)允許程序建立消息掛鉤函數，通過(guò)該函數能夠實(shí)現對消息傳遞線(xiàn)路的監控。系統會(huì )將各種信息傳遞給對應的掛鉤函數進(jìn)行處理，這些掛鉤函數會(huì )根據自己的功能對相關(guān)信息進(jìn)行監控。

　　Windows掛鉤函數能夠響應系統中多種類(lèi)型的消息，其中包括鼠標和鍵盤(pán)事件消息。掛鉤函數執行的具體步驟是：首先由 SetWindowsHookEx函數注冊Hook，并定義Hook掛接的事件類(lèi)型和用于處理消息的掛鉤回調函數Hook Procedure，當事件發(fā)生時(shí)相關(guān)信息會(huì )進(jìn)入掛鉤函數進(jìn)行處理，處理結束后通過(guò)相關(guān)函數將掛鉤函數卸載。

　　5、總結

　　計算機安全監控系統能夠實(shí)現計算機各項信息和擁護操作的監控。通過(guò)對文本、文件和擁護操作的監控的探究，能夠選擇有效的應對措施，提高監控工作效率，為計算機系統的安全運行奠定堅實(shí)的基礎。

【計算機安全監控系統的關(guān)鍵技術(shù)探討】相關(guān)文章：

計算機安全監控系統技術(shù)論文11-08

鋁電解計算機遠程監控系統論文11-11

網(wǎng)絡(luò )安全態(tài)勢感知系統關(guān)鍵技術(shù)研究02-24

《計算機系統結構》課程教學(xué)改革探討11-27

計算機安全弱點(diǎn)及關(guān)鍵技術(shù)研究論文02-20

淺析水電站計算機監控系統網(wǎng)絡(luò )結構分析02-25

體育教學(xué)質(zhì)量監控體系探討12-06

淺談高職計算機系統維護與網(wǎng)絡(luò )應用課程設置探討12-07

航空電信技術(shù)系統關(guān)鍵技術(shù)問(wèn)題論文02-23