遠(yuǎn)程計(jì)算機(jī)審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)?

劉意先，行 帥

（西安郵電大學(xué)信息安全與信息對抗實(shí)驗(yàn)教學(xué)中心，西安710121）

·微機(jī)網(wǎng)絡(luò)與通信·

遠(yuǎn)程計(jì)算機(jī)審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)?

劉意先，行 帥

（西安郵電大學(xué)信息安全與信息對抗實(shí)驗(yàn)教學(xué)中心，西安710121）

為了實(shí)現(xiàn)對計(jì)算機(jī)的遠(yuǎn)程審計(jì)，提出了一種客戶端程序和B／S結(jié)構(gòu)程序并用的遠(yuǎn)程計(jì)算機(jī)審計(jì)系統(tǒng)設(shè)計(jì)方法。客戶端程序用于采集計(jì)算機(jī)的各種4系統(tǒng)信息和使用記錄，基于JSP的B／S結(jié)構(gòu)程序用于管理員對審計(jì)數(shù)據(jù)的查看。通過該系統(tǒng)的實(shí)現(xiàn)，證明該設(shè)計(jì)方法是實(shí)用而有效的。

審計(jì)系統(tǒng)；Windows管理部件；鉤子；Java服務(wù)器腳本

1 引 言

審計(jì)系統(tǒng)在計(jì)算機(jī)安全中起著非常重要的作用［1-2］。通過審計(jì)系統(tǒng)，管理者可以對計(jì)算機(jī)的操作起到監(jiān)督作用，有效防止權(quán)限濫用［3］。從審計(jì)記錄還能發(fā)現(xiàn)異常情況，對可能出現(xiàn)的安全漏洞及早發(fā)現(xiàn)［4-5］。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，計(jì)算機(jī)系統(tǒng)不再是獨(dú)立的信息系統(tǒng)，基于單機(jī)的安全審計(jì)系統(tǒng)越來越不能滿足需求。特別是對于單位的信息安全管理者，面對數(shù)量龐大的主機(jī)群，這就需要有一個易用而快捷的集中式遠(yuǎn)程安全審計(jì)系統(tǒng)對所有的主機(jī)操作信息進(jìn)行收集和審計(jì)。這里提出了一個遠(yuǎn)程計(jì)算機(jī)審計(jì)系統(tǒng)的設(shè)計(jì)方案。該方案通過本地運(yùn)行程序收集計(jì)算機(jī)的各項(xiàng)信息并上傳至數(shù)據(jù)庫中，管理者可以通過Web瀏覽器對所有的信息進(jìn)行瀏覽和審計(jì)，方便的發(fā)現(xiàn)可能的安全風(fēng)險(xiǎn)或漏洞。

2 系統(tǒng)總體結(jié)構(gòu)

系統(tǒng)主要由兩部分構(gòu)成，一部分是運(yùn)行在被審計(jì)主機(jī)的客戶端程序，功能是收集宿主主機(jī)的各種操作信息；另一部分是可以供管理員訪問查看審計(jì)數(shù)據(jù)的服務(wù)器程序，審計(jì)數(shù)據(jù)來自客戶端程序收集到的信息，這些信息被發(fā)送到數(shù)據(jù)庫中進(jìn)行存儲。系統(tǒng)整體結(jié)構(gòu)如圖1所示。

2 客戶端對信息的采集和存儲

客戶端程序主要通過四個功能模塊完成數(shù)據(jù)的采集和存儲工作：WMI模塊采集用戶主機(jī)的硬件和系統(tǒng)信息；鉤子模塊主要用來實(shí)時(shí)捕獲用戶使用程序情況；WinPcap模塊主要用來實(shí)時(shí)捕獲用戶的網(wǎng)絡(luò)數(shù)據(jù)包并提取出用戶的上網(wǎng)記錄；MYSQL模塊主要負(fù)責(zé)將數(shù)據(jù)存入到遠(yuǎn)程數(shù)據(jù)庫源。

2.1 通過WMI獲取主機(jī)信息

WMI最初于1998年作為一個附加組件與Windows NT 4.0 Service Pack 4一起發(fā)行，是內(nèi)置在Windows2000、WindowsXP和Windows Server 2003系列操作系統(tǒng)中核心的管理支持技術(shù)?；谟蒁istributed Management Task Force（DMTF）所監(jiān)督的業(yè)界標(biāo)準(zhǔn)，WMI是一種規(guī)范和基礎(chǔ)結(jié)構(gòu)，通過它可以訪問、配置、管理和監(jiān)視幾乎所有的Windows資源。WMI的使用要通過三步實(shí)現(xiàn)，首先初始化，然后創(chuàng)建WMI的名字空間，最后通過WQL進(jìn)行查詢。WQL是WMI中的查詢語言Windows管理規(guī)范查詢語言［6-7］。

圖1 系統(tǒng)的總體結(jié)構(gòu)

2.2 全局鉤子監(jiān)控程序記錄

鉤子（Hook）是Windows消息處理機(jī)制的一個平臺，應(yīng)用程序可以在上面設(shè)置進(jìn)程以監(jiān)視指定窗口的某種消息，而且所監(jiān)視的窗口可以是其他進(jìn)程所創(chuàng)建的。當(dāng)消息到達(dá)后，在目標(biāo)窗口處理函數(shù)之前處理它。鉤子機(jī)制允許應(yīng)用程序截獲處理window消息或特定事件。在使用鉤子時(shí)可以根據(jù)其監(jiān)視范圍的不同將其分為全局鉤子和線程鉤子兩大類。其中線程鉤子只能監(jiān)視某個線程，而全局鉤子則可對在當(dāng)前系統(tǒng)下運(yùn)行的所有線程進(jìn)行監(jiān)視［8］。

在本系統(tǒng)中采用全局鉤子，使用外殼鉤子WM_ SHELL，由于鉤子是全局的，必須把這個鉤子定義到動態(tài)鏈接庫里。當(dāng)用戶打開程序（程序需要重繪一個窗口）時(shí)，鉤子程序會捕獲到用戶的窗口句柄，通過窗口句柄獲得應(yīng)用程序名。

2.3 通過WinPcap捕獲上網(wǎng)記錄

WinPcap是一個基于Win32平臺的，用于捕獲網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行分析的開源庫［9］。捕獲數(shù)據(jù)的方式分為采用回調(diào)方法捕獲數(shù)據(jù)和不采用回調(diào)方法捕獲數(shù)據(jù)。這兩者的主要區(qū)別在于不采用回調(diào)的方法捕獲數(shù)據(jù)適合用戶體驗(yàn)要求不高的情況，因此在本系統(tǒng)中采用不回調(diào)方法捕獲數(shù)據(jù)，采用下面函數(shù)進(jìn)行捕獲數(shù)據(jù)包：

int cap_next_ex（pcap_t*p，struct pcap_pkthdr **pkt_header，const u_char**pkt_data）；

返回值為1則表示讀取數(shù)據(jù)成功，返回值為0表示讀取時(shí)間超時(shí)未讀取到任何數(shù)據(jù)包。當(dāng)讀取到數(shù)據(jù)包之后就要按照Ip數(shù)據(jù)包格式和tcp數(shù)據(jù)包格式對數(shù)據(jù)包進(jìn)行分析，從而得出用戶的上網(wǎng)網(wǎng)址。

2.4 上傳數(shù)據(jù)到MySQL數(shù)據(jù)庫

MySQL是一個小型關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，可以通過結(jié)構(gòu)化查詢語言（SQL）進(jìn)行數(shù)據(jù)庫管理。從客戶端連接數(shù)據(jù)庫，首先要進(jìn)行初始化操作如下：

MYSQLmysql；

mysql_init（＆mysql）；

然后進(jìn)行連接：

MYSQL*mysql_real_connect（MYSQL*mysql，const char*host，

const char*user，const char*passwd，

const char*db，unsigned int port，

const char*unix_socket，unsigned long client_ flag）

最后對數(shù)據(jù)庫進(jìn)行數(shù)據(jù)插入：

intmysql_real_query（MYSQL*mysql，const char*query，unsigned long length）；

其中query是需要執(zhí)行的數(shù)據(jù)庫操作命令，在系統(tǒng)的客戶端程序中主要是給數(shù)據(jù)庫插入數(shù)據(jù)，因此主要執(zhí)行的是Insert語句。Length是query語句的長度。

3 服務(wù)器端對審計(jì)數(shù)據(jù)的顯示

服務(wù)器端采用B／S架構(gòu)進(jìn)行設(shè)計(jì)，方便管理員對數(shù)據(jù)查看，可以不受平臺的限制。所有審計(jì)數(shù)據(jù)已存入了服務(wù)器端的MySQL數(shù)據(jù)庫，系統(tǒng)采用JSP讀取數(shù)據(jù)并進(jìn)行前端顯示。管理員只要通過Web瀏覽器進(jìn)行必要的驗(yàn)證就能登入并查看，可以查看用戶列表、用戶的系統(tǒng)信息、應(yīng)用程序使用記錄及上網(wǎng)記錄。如圖2、圖3分別顯示了用戶的應(yīng)用程序使用情況和上網(wǎng)記錄。

圖2 用戶應(yīng)用程序使用情況

圖3 用戶上網(wǎng)記錄

4 結(jié)束語

系統(tǒng)在服務(wù)器端采用B／S結(jié)構(gòu)，為管理員的查看管理提供很大的方便，管理員只需通過任何帶有瀏覽器的計(jì)算機(jī)即可進(jìn)行查閱，很大程度上增強(qiáng)了本系統(tǒng)的實(shí)用性和移植性。在客戶端方面的程序由于要對操作系統(tǒng)進(jìn)行開發(fā)，因此采用C＋＋語言進(jìn)行開發(fā)，這能在一定程度上提高系統(tǒng)的開發(fā)效率?？偟膩碚f，系統(tǒng)既方便了管理員的審計(jì)工作，客戶端程序也能采集到所需信息。

［1］Atymtayeva Lyazzat B，Bortsova Gerda K，Inoue Atsushi，et al.Methodology and ontology of expert system for information security audit［C］.6th International Conference on Soft Computing and Intelligent Systems，and 13th International Symposium on Advanced Intelligence Systems，Kobe：IEEE，2012.

［2］Liu Jing，Wang Xiaoni，Jiao Dongliang，et al.Research and design of security audit system for compliance［C］.Proceedings of2012 International Symposium on Information Technologies in Medicine and Education，Hokodate： IEEE Sapporo Sect，2012.

［3］Pereira Teresa，Dinis Santos Henrique M.An audit framework to support information system security management［J］.International Journal of Electronic Security and Digital Forensics，2010，3（3）：265-277.

［4］Kozhakhmet K，Bortsova G，Inoue A，Atymtayeva L.Expert System for Security Audit using fuzzy logic［C］.Proceedings of the 23rd Midwest Artificial Intelligence and Cognitive Science Conference，Cincinnati：MAICS，2012.

［5］Yu Yong，Niu Lei，Yang Guomin，et al.On the security of auditingmechanisms for secure cloud storage［J］.Future Generation Computer Systems，2014，30（1）：127-132.

［6］李志偉，李岳.基于計(jì)算機(jī)資源知識庫的安全預(yù)警系統(tǒng)設(shè)計(jì)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2013（1）：55-58，65.

［7］陳晶寧，康緋，馬亞南，王軍博.基于WMI技術(shù)的進(jìn)程靜音模型研究［J］.計(jì)算機(jī)工程與應(yīng)用，2012（27）：79-83，89.

［8］陳學(xué)軍.Windows平臺下串口通信數(shù)據(jù)實(shí)時(shí)獲取與監(jiān)測［J］.自動化儀表，2012（3）：66-69.

［9］沈輝，張龍.基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測及分析［J］.計(jì)算機(jī)科學(xué)，2012，S2：15-18，29.

Design and Im plementation on Remote Com puter Audition System

LIU Yi-xian，XING Shuai
（Information Security and Countermeasure Experiment Teaching Center of Xi’an University of Posts and Telecommunications，Xi’an 710121，China）

To implement the remote auditing to the computers，this paper proposes a design method of remote audition system by using both client program and B／S structure program.The client program is used to capture various system information and the operation records.The B／S structure program，based on JSP，is for administrator to view the audition data.By implementation of the system，thismethod is proved that it is useful and effective.

Audition system；WMI；Hook；JSP

10.3969／j.issn.1002-2279.2014.04.011

TP309

：A

：1002-2279（2014）04-0032-03

國家自然科學(xué)基金資助項(xiàng)目（60234030）；國家自然科學(xué)基金資助項(xiàng)目（61301091）；陜西省自然科學(xué)基礎(chǔ)研究計(jì)劃項(xiàng)目（2012JQ8045）；西安郵電大學(xué)青年教師科研基金資助項(xiàng)目（ZL2012-03）；西安郵電大學(xué)青年教師科研基金資助項(xiàng)目（ZL2012-22）

劉意先（1980-），男，成都人，碩士研究生，工程師，主研方向：軟件理論、網(wǎng)絡(luò)與信息安全。

2014-02-10