计算机安全监控系统探索

1计算机安全监控的关键技术

1.1基于文件变更监控的关键技术

1.1.1WindowsAPI

WindowsAPI是计算机应用程序的重要接口，它可以为编程人员提供函数应用的数据库，并且利用数据库中的某些函数可以对外设进行控制。RDCW函数可以向监控系统提供两种监控方式，一种是同步监控，另一种是异步监控，就拿异步监控为例，它采用的函数主要是回调函数，回调函数注重的是循环系统的使用，某一个事件在监控完成之后，程序并不会就此停止，当监控还需要继续进行的时候，系统就会进入到下一个轮回。

1.1.2APIHook

APIHook是基于拦截模式的系统，在Windows中也被称为接口的挂接技术，工作原理是通过对应用程序的监控，找到需要调动的代码，然后将代码转移到系统管理者想要嫁接的程序之上，从而实现对某些文件的阻隔。当系统管理员需要打开某些文件时，它会提前调动空间中的函数，然后将参数调用到API函数之中，之后DLL会自动向系统下达指令，使操作进入到内核处理的状态。拦截系统的工作原理较为简单，只需要将代码输入到DLL中，就可以实现对恶意数据的拦截。

1.1.3中间层驱动

计算机的驱动程序是文件需要经过的区域，驱动的主要功能是对计算机正在应用的程序进行交换，以达到缓冲的目的，当系统管理员想要调取程序中的某个文件时，就需要提前将调动代码下达到驱动之中，如果在驱动之中加入一个中间层文件的监控程序，就可以实现对某些异常数据的拦截。WindowsAPI技术构成较为简单，监控和执行的效率也很不错，但是没有扩展的能力，在这个更新速度较快的年代里，对外在的威胁没有很好的适应能力；拦截系统在覆盖率、执行效率以及扩展程度上都有着不错的效果，比较明显的缺点是实现起来比较困难；最后，中间层驱动最明显的优势在于其监控的覆盖范围非常广，只是由于系统的构成较为复杂，实现起来有一定的难度，并且执行的效率相较于上述两种方式而言比较一般。

1.2基于文本复制监控的关键技术

文本复制的监控是基于剪贴板的来进行设计的，采用相关的手段掌握剪贴板信息变化的规律，从而达到文本监控的目的。通过在剪贴板上安装监控器，并将监控器组建成链条的模式，当系统管理员在对文本进行复制时，剪贴板变动的信息就会通过之前设置好的链接转向信息监控的终端，不过对监控的链条的添加会破坏原有链条的完整性，因此当剪贴板无明显的变动没有异常时就需要对监控器进行注销，以便保证链条的完整程度。

1.3基于人为操作监控的关键技术

键盘和鼠标的监控是实现对人为操作监控的主要方式，这里所说的并非是对外部的监控，而是通过相关函数的建立组建一套监控链条，对信息传输的途径进行监视，如果信息不存在安全方面的威胁，就会传送到下一个连接之中。其中采用了挂钩函数，起初通过函数注册表对Hook进行安装，并且将回调函数融入到监控程序之中，事件产生之后会自动顺着之前设定好的程序逐步下移，当数据处理不存在威胁时，这一阶段的流程便宣告结束，下一事件也可以继续开始。无论是键盘还是鼠标都采用了WindowsHook的相关技术，很好的实现了对人为操作的监控效果。

2结束语

综上所述，笔者认为计算机安全监控技术主要集中在文本的变更、复制以及人为操作三个方面，并对其中较为关键的技术进行了介绍和比较。目的是希望通过相关技术的开发，能够促进安全监控系统目标的实现。

作者：谢会宾 单位：江西工业贸易职业技术学院