[发明专利]一种基于过滤驱动的安全审计系统

说明书

技术领域

本发明涉及安全审计领域。具体来说是一种基于过滤驱动的分布式的安全审计系统。

背景技术

计算机技术的迅猛发展带来的信息数字化大幅度提高工作效率促进社会发展的同时，安全问题也日益成为影响很多领域效能的重要问题。数字信息的安全相比传统数据文件安全更受关注是由于数字信息本身具有易于复制的特性，利用这一特性，信息更易于受到难以控制和追溯的盗取威胁。安全审计是对系统记录和过程的检查和审查，审计系统可以通过记录可疑数据、入侵信息、敏感信息等，对网络进行动态实时监控；通过寻找入侵和违规行为，记录网络上发生的一切，作为取证和跟踪使用。安全审计的常用方式是在正常系统行为之前加装安全审计过滤行为，只有通过了安全审计过滤行为中相应安全规则的系统行为才可以进入正常的系统流程，在安全审计过滤行为中，会对所有系统行为进行档案留存。

现有安全审计系统存在审计内容不全，审计粒度过粗，审计系统安全性不足等问题。现有安全审计系统审计内容不全，主要表现为，审计项目过于单一，不能涵盖用户从接入涉密信息系统到离开涉密信息系统的完整行为过程；现有安全审计系统审计粒度过粗，主要表现为，审计内容过于简单，不能涵盖用户的具体操作行为；现有安全审计系统审计安全性不足，主要表现为，用户层的安全审计软件容易被绕过，失去审计效能。

发明内容

本发明技术解决问题：克服现有技术的审计内容不全，审计粒度过粗，审计系统安全性不足等问题，提供一种基于过滤驱动的安全审计系统，解决了以上3类问题，提高了安全审计系统的安全性。

本发明技术解决方案：一种基于过滤驱动的安全审计系统，包括：系统过滤驱动模块、客户端采集模块、客户端处理模块和客户端发送模块，其中系统过滤驱动模块包括NDIS(Network Driver Interface Specification,网络驱动接口规范)驱动模型的中间层过滤驱动模块和PNP(Plug-and-Play，即插即用)驱动模型的USB设备过滤驱动模块；

NDIS驱动模型的中间层过滤驱动模块，创建NDIS协议驱动设备，将此设备绑定所有NDIS小端口驱动，以获取网卡设备接收的网络数据；创建NDIS小端口驱动设备，将此设备绑定所有NDIS协议驱动，以获取NDIS协议驱动发送的网络数据；设置分发函数，将获取的网络数据进行Kerberos协议和CIFS协议关键字匹配，将以上两种协议的敏感网络数据通过共享内存传输给客户端采集模块；

PNP驱动模型的USB设备过滤驱动模块，通过绑定PCI总线设备驱动，设置USB设备添加设备分发函数，USB设备插入时，通过构造IRP(I/O Request Package,输入输出请求包)获取USB设备类型和型号信息，将捕获的USB设备数据通过共享内存传输给客户端采集模块；

客户端采集模块：初始化两个采集线程和信息缓存队列，两个采集线程和信息缓存队列分别对应接收缓存NDIS驱动模型的中间层过滤驱动模块和PNP驱动模型的USB过滤驱动模块的数据；在每个采集线程中，各自初始化共享内存，将共享内存传递给对应的过滤驱动，作为客户数据缓存区，各自初始化共享事件，作为跟对应的过滤驱动进行事件通信的标志；当系统过滤驱动模块捕获客户数据时，将数据缓存至共享内存，并触发对应的共享事件，采集线程读取客户数据，采集线程首先读取对应的共享内存数据，将数据缓存至对应的信息缓存队列，将对应的共享事件置位，将对应的共享内存清空，继续等待共享事件被触发；当信息缓存队列中存在数据时，客户端采集模块会创建处理线程，调用对应的客户端处理模块处理接口，对客户信息缓存队列中的数据进行处理；