Windows下网络空间主机节点信息采集(全文)

开篇：润墨网以专业的文秘视角，为您筛选了一篇Windows下网络空间主机节点信息采集范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要

本文对网络空间中windows主机节点系统信息采集技术进行了研究，设计了一套采集软件，能够对windows XP/7操作系统主机信息进行采集，监控系统状态和重要安全事件，记录系统日志，为病毒和木马等网络行为结果分析提供数据支持。

【关键词】网络空间系统监控信息采集

在信息系统中操作系统安全对整个信息系统安全具有至关重要的作用。由于计算机操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞，各种病毒、木马和蠕虫利用安全漏洞进行的网络攻击数量持续增长。为了评估网络攻击结果，需要对被攻击网络主机节点信息进行采集，监控系统状态、重要安全事件和系统日志记录，详细分析在攻击过程中留下的“痕迹”，以便采取相应的防范策略。

1 功能需求

1.1 外部接口需求

Windows主机节点数据采集系统外部接口包括采集项目配置文件、数据文件和操作员三类接口。操作员操作采集项目配置软件，对采集项目进行配置，生成配置文件；数据采集软件读取配置文件，分析采集需求，响应用户操作，采集数据，输出数据信息和文件样本。

Windows主机节点数据采集系统包括采集项目配置工具软件和Windows数据采集软件两个软件部件：

（1）采集项目配置工具软件对采集项目、采集频率和保存路径进行配置，将配置结果保存为配置文件，供数据采集软件读取；载入已有配置文件供用户编辑。

（2）Windows数据采集软件读取配置文件，响应用户操作，根据用户需求采集相关项目，采集数据存入xml文件，文件样本备份到指定目录。

1.2 内部接口需求

数据采集系统运行于Windows XP/7操作系统，完成网络空间主机节点数据采集功能，采集项目主要分为三大类型共15个模块。

1.2.1 初始一次性采集项目

（1）硬件及驱动配置：采集CPU型号及频率、内存容量、硬件设备ID及驱动程序版本、外存数量、型号和容量等信息；

（2）系统版本型号：采集主版本、内核版本及已安装补丁列表等信息；

（3）系统安装应用程序列表：采集名称、版本信息。

1.2.2 定期采集项目

（1）自启动项：包含启动命令行，即可执行文件路径及参数等信息；

（2）系统进程列表：包含进程名、可执行文件路径、PID、UID、进程启动时间、进程的线程数量、CPU占用率、内存占用率、使用网络端口、进程模块表、关联进程（父、子）等信息；

（3）用户和组：包含名称、所属组、权限、主目录路径；

（4）系统服务：包含服务名、描述、命令行、状态、调用服务的用户等信息；

（5）系统资源占用率：包含CPU占用率、内存占用率、磁盘读写I/O次数及磁盘读写带宽等信息；

（6）文件系统：包含加载卷个数、卷路径、卷文件系统、指定目录文件列表和指定文件样本等信息；

（7）网络适配器配置：包含MAC地址、IP地址、子网掩码、网关、DNS、链路状态及NetBios名称的等信息；

（8）系统日志：包括应用程序日志、安全日志和系统日志。

1.2.3 动态监视项目

（1）进程事件监视：采集进程创建、删除事件、进程名和命令行信息；

（2）注册表监视：采集键路径、键类型、事件前/后键值信息；

（3）文件系统活动监控：采集卷加载及卸载事件、指定文件读写事件、指定文件夹读写事件信息；

（4）驱动程序事件监视：采集驱动安装及卸载事件、驱动文件路径和文件样本信息。

2 系统设计

网络空间主机节点数据采集系统以计算机操作系统为基础，提供基于操作系统的可执行程序，完成网络空间主机节点数据采集功能。根据需求，网络空间主机节点数据采集系统包括“采集项目配置工具软件”和“Windows数据采集软件”两个软件部件，系统具备的功能如图1所示。

2.1 采集项目配置工具软件ItemConfig

ItemConfig是一个基于对话框的应用软件，提供人机交互界面，对采集项目和采集频率以及xml文件保存路径进行配置，将配置信息存入配置文件供数据采集软件读取。采集项目配置工具软件功能如图2所示。

采集项目配置工具采用Visual Studio 6.0进行开发，基于对话框进行设计，具备如下功能：

（1）对采集项目、采集频率和保存路径进行配置；

（2）将配置结果保存为配置文件，供数据采集软件读取；

（3）载入配置文件供用户编辑。

2.2 Windows数据采集软件SysInfoCollect

Windows数据采集软件SysInfoCollect采用Visual Studio 2010进行开发，运行于Windows XP/7环境，读取配置文件，根据用户需求采集数据，并保存到xml文件中。SysInfoCollect数据采集软件功能列举如图3所示。

首先加载配置文件，然后根据配置文件中的采集项目、采集周期和xml文件保存路径，启动相应的功能模块进行数据采集，将采集到的信息保存到相应的xml文件中。SysInfoCollect类构成说明如表1所示。

SysInfoCollect是一个基于对话框的多线程软件：3个一次性采集项目中硬件及驱动配置中的显卡等其他硬件设备信息采集较为耗时，为了不影响软件效率，单独设计一个线程完成此功能，一次性采集项目中的其余项目采用相应的功能模块完成采集；定期采集项目全部采用多线程设计，其中大部分采集项目采用一个线程实现，部分采集项目细分为多个线程实现；动态监视项目采用多线程设计。软件采用系统API函数完成大部分数据采集任务，采用HOOK技术截获系统SHELL层消息，通过旁路注册表操作函数来实现注册表监视，通过监控线程与驱动程序通信实现进程监控。

3 结束语

本文对计算机网络空间Windows平台主机节点数据采集技术进行了研究，设计了一套windows XP/7平台下的计算机软硬件信息采集系统，能够监控系统运行状态和重要安全事件，提取系统日志，为病毒和木马等网络行为结果分析提供数据支持。

参考文献

[1]Mark E.Russinovich，DavidA.Solomon著，潘爱民译，深入解析Windows操作系统（第四版）[M].北京：电子工业出版社，2007.

[2]孙鑫，余安萍.VC++深入详解[M].北京：电子工业出版社，2006.

作者单位

Windows下网络空间主机节点信息采集

优秀范文