[发明专利]一种基于过滤驱动的安全审计系统

摘要

本发明提出一种基于过滤驱动的安全审计系统，包括系统过滤驱动模块、客户端采集模块、客户端处理模块和客户端发送模块，其中系统过滤驱动模块包括NDIS(Network Driver Interface Specification,网络驱动接口规范)驱动模型的中间层过滤驱动模块和PNP(Plug‑and‑Play，即插即用)驱动模型的USB设备过滤驱动模块。本发明提高了安全审计系统的安全性。

主权项

一种基于过滤驱动的安全审计系统，其特征在于包括：系统过滤驱动模块、客户端采集模块、客户端处理模块和客户端发送模块，其中系统过滤驱动模块包括网络驱动接口规范NDIS驱动模型的中间层过滤驱动模块和即插即用PNP驱动模型的USB设备过滤驱动模块；NDIS驱动模型的中间层过滤驱动模块，创建NDIS协议驱动设备，将此设备绑定所有NDIS小端口驱动，以获取网卡设备接收的网络数据；创建NDIS小端口驱动设备，将此设备绑定所有NDIS协议驱动，以获取NDIS协议驱动发送的网络数据；设置分发函数，将获取的网络数据进行Kerberos协议和CIFS协议关键字匹配，将以上两种协议的敏感网络数据通过共享内存传输给客户端采集模块；PNP驱动模型的USB设备过滤驱动模块，通过绑定PCI总线设备驱动，设置USB设备添加设备分发函数，USB设备插入时，通过构造输入输出请求包IRP获取USB设备类型和型号信息，将捕获的USB设备数据通过共享内存传输给客户端采集模块；客户端采集模块：初始化两个采集线程和两个信息缓存队列，两个采集线程和两个信息缓存队列分别对应接收缓存NDIS驱动模型的中间层过滤驱动模块和PNP驱动模型的USB过滤驱动模块的数据；在每个采集线程中，各自初始化共享内存，将共享内存传递给对应的过滤驱动，作为客户数据缓存区，各自初始化共享事件，作为跟对应的过滤驱动进行事件通信的标志；当系统过滤驱动模块捕获客户数据时，将数据缓存至共享内存，并触发对应的共享事件，采集线程读取客户数据，采集线程首先读取对应的共享内存数据，将数据缓存至对应的信息缓存队列，将对应的共享事件置位，将对应的共享内存清空，继续等待共享事件被触发；当信息缓存队列中存在数据时，客户端采集模块会创建处理线程，调用对应的客户端处理模块处理接口，对客户信息缓存队列中的数据进行处理；客户端处理模块：首先初始化缓存客户端基本信息，客户端基本信息包括客户登录用户名、客户登录主机名；然后接收客户端采集模块采集的CIFS协议、Kerberos协议和USB设备数据，进行CIFS协议文件操作数据处理或者进行Kerberos协议登录数据处理或者进行USB设备数据处理；所述CIFS协议文件操作数据处理初始化文件身份FID缓存队列，通过解析CIFS协议网络数据包中的操作命令字段，采取相应的操作命令处理流程，将CIFS协议网络数据包中的操作信息和审计基本信息，生成相应的审计日志，调用客户端发送模块发送审计日志；所述进行Kerberos协议登录数据处理，首先初始化登录用户名缓存队列，通过解析获取Kerberos协议请求包中的客户端登录用户名和Kerberos协议返回包中的登录结果，将以上信息缓存到登录用户名缓存队列，当前登录用户名出错次数如果是5的倍数，将登录用户名和审计日志基本信息组成审计日志，调用客户端发送模块发送审计日志；所述进行USB设备数据处理，解析数据获取其中的USB设备型号信息和设备ID信息，将USB设备型号信息、设备ID信息和审计日志基本信息组成审计日志，调用客户端发送模块发送审计日志；客户端发送模块：初始化日志缓存队列和网络套接字连接，将客户端处理模块中的审计日志放入日志缓存队列中，通过网络套接字将日志发送到日志服务器。