摘  要： 提出一種在虛擬磁盤中對文件映像前后的訪問進程進行監控并對非法信息流進行過濾的方法。該方法在關鍵字或特征信息提取過程中安裝各種鉤子并對接入主機進行審計，用來提高系統服務器的包轉發速率與非法信息的捕捉能力。其目的是阻止病毒或木馬程序對文件破壞或數據包劫持，保證信息接入的可控性和安全性。實驗測試表明，系統降低了包轉發時延，提高了包轉發速率和非法信息的識別能力。
關鍵詞： 網絡信息安全；進程防火墻；虛擬磁盤技術；非法信息流；內核鉤子；過濾代價

    目前，虛擬磁盤技術廣泛應用于快速安裝各類（如ISO、BIN等）光盤映像文件中，將文件映射為一個虛擬磁盤，以實現用戶的透明性文件操作。非法信息流過濾驅動通常有兩種實現方法：一種是以微軟的Sfilter模型為基礎、以過濾底層文件操作IRP包為技術的傳統模型[1]，另一種是以微軟的MiniFilter模型為基礎、以過濾底層文件操作事件為技術的新式模型[2]。
    在以包過濾為基礎的防火墻中，王潔實現了一種基于FPGA的網絡硬件防火墻，以內容過濾設計準則實現對數據包的處理邏輯，使系統免受硬件惡意后門和軟件安全漏洞的影響，其劣勢在于處理速度遠低于目前專用處理器的速度[3]。趙躍華等利用專家知識檢測網絡層數據包的攻擊行為和運行中應用程序的攻擊行為推理，可實現防火墻過濾規則的動態生成[4]。侯整風在參考文獻[5]中討論了多核防火墻分層內容過濾的時延問題。溫貴江采用了Winsock2套接字技術，在Socket中插入一層，完成傳輸質量控制、擴展TCP/IP協議棧、URL過濾及網絡安全控制等功能[6]。可以看出，這些文獻主要涉及內容過濾、規則推理等方法對入侵信息進行識別與阻止，較少考慮內核審計與實時監控。
    本文通過在虛擬磁盤中對文件映像前后的訪問進程進行監控并對非法信息流進行監控、查找、定位的過濾方法，能對虛擬磁盤的原映像文件進行訪問，可識別隱藏在底層的非法信息流，并實現分組過濾與實時監控，用來阻止病毒或木馬程序對傳輸信息的破壞或數據包的劫持，維護了正常的主機接入、包訪問的可控性和數據流信息的安全性。
1 模型系統的構成
1.1 系統結構
    為實現對內核底層分組識別過濾與監控，系統在通用操作系統的基礎上增加應用層的進程策略管理部分和內核層非法信息流過濾驅動，其結構由應用層管理程序、非法信息流過濾驅動程序及虛擬磁盤驅動3部分組成。其中非法信息流過濾驅動負責對虛擬磁盤的原映像文件及映像后的虛擬盤文件的各種操作（包括文件列表、文件數據讀寫、文件屬性讀寫等）并進行過濾，在過濾例程中對訪問進程進行控制，可配置成只有本系統的應用層管理程序能對虛擬磁盤的原映像文件進行訪問，只有桌面程序及其他文件關聯的應用程序(如OFFICE程序等)能對映像后的虛擬盤文件進行訪問，其信息流過濾系統結構如圖1所示。

1.2 非法信息流過濾驅動的設計
    (1)非法信息流的確定 
    先搜索目標關鍵字（或依據信息流特征捕捉），后搜索要剔除的關鍵字，可降低誤判合法信息流的幾率。過濾驅動的非法信息流過濾過程如圖2所示，其識別與過濾步驟為：(1)在頁面中搜索并確定目標關鍵字（或信息流特征）；(2)標記目標關鍵字的位置、所在段落編碼、字長、數據包頭信息等；(3)在標記段落中尋找要剔除的關鍵字，如果找到存在非法信息，則判定該頁面不是要檢查的目的頁面；如果不存在，則繼續搜索該頁面的后續內容；(4)將合法信息流關鍵字（或信息流特征）映像虛擬磁盤，完成過濾驅動的非法信息流過濾過程。
    (2)驅動程序的設計
    程序從IRP頭部所指定的內存中讀取用戶數據，如果是Direct方式，則應從IRP頭部的MdlAddress所描述的內存中讀取用戶數據，最后將數據寫入到硬件設備中。如果用METHOD_BUFFERED方式，過濾驅動的輸入、輸出緩沖區都由AssociatedIrp.SystemBuffer指定。
2 非法信息流過濾過程的實施
    非法信息流過濾過程主要涉及關鍵字(或特征信息)的識別與分離、特征篩選、非法信息認定、映像并緩存磁盤。
    過濾非法信息的方法在參考文獻[7-9]中都有描述，本文通過Windows內核反鉤子技術與內核鉤子還原技術來識別與分離非法信息，盡量防止信息偽裝并通過防火墻來連接主機。
2.1 關鍵字或特征信息的抽取
    關鍵字或特征信息的抽取方式通過安裝各種鉤子審計實現，鉤子的種類很多，每種鉤子可以截獲并處理相應的消息，如鍵盤鉤子可以截獲鍵盤消息，鼠標鉤子可以截獲鼠標消息，外殼鉤子可以截獲啟動和關閉應用程序的消息，日志鉤子可以監視和記錄輸入事件。采用內核反鉤子技術的主機審計與傳統的主機審計最大的不同在于多了內核鉤子掃描模塊，并能根據服務器預先設定的策略來對內核鉤子進行操作，其對內核鉤子操作的審計流程如圖2所示。

    防火墻內核鉤子操作的審計流程圖說明從審計內核行為未通過審計操作的行為中，可確定為非法信息流，并記錄下線程在段落位置，根據策略恢復內核局部或全部鉤子并回送給服務器的日志管理數據庫緩存。

    與采用防火墻與虛擬磁盤技術的非法信息流過濾方法前后的系統性能比較，內核反鉤子技術更側重于控制系統底層信息的讀取及偽裝代碼的識別過程，不同于主機非法接入阻斷[10]。與其他?茁參數比較，網絡帶寬的控制可以通過路由直接設定，因而，利用不同網絡帶寬更能反映出采用兩種不同方法的過濾效果。
3 性能測試及分析
3.1 測試環境與過程
3.1.1 實驗環境
    進行非法信息流過濾測試。由1套Secoway USG2220防火墻及其相應模塊、1套IPtables、1臺H3C LS-3100-26TP-SI-H3網絡工作組交換機、1臺H3C ER6300小型路由器等，通過修改網卡協議、流程監控程序，共同構成實驗測試環境。
3.1.2 實驗測試步驟
    （1）設定的過濾策略為多組非法的行為信息，每組行為信息中包含至少一個行為（即βi）；
    （2）測試傳統的主機審計對非法信息流過濾的各βi值；
    （3）當使用內核鉤子掃描模塊對某一軟件的內核進行掃描時，獲得過濾代價(α|γ)的各因素βi，重復50次實驗測試并計算平均值。

    從圖3可以看出，系統網絡帶寬在100 Mb/s以下兩種情況CPU資源占用比基本相同，在網絡帶寬大于100 Mb/s時采用基于進程防火墻與虛擬磁盤的內核反鉤子技術的CPU資源占用比略高于通用防火墻情況，主要因審計內核流程變長、對訪問進程進行控制造成，但CPU資源占有比仍保持在11%以下，不會對系統性能造成大的影響。
    由于實際系統可能造成一定程度的網絡瓶頸。當服務器設定不同網絡帶寬時，系統過濾代價隨之變化，可以得出：
    （1）當β1<80 Mb/s時，系統CPU資源占用比、審計時間、轉發時延、包轉發速率受影響比較小，普通個人版防火墻審計過濾代價（曲線A）與采用基于進程防火墻與虛擬磁盤的內核反鉤子技術的非法信息流過濾代價（曲線B）基本一致，沒有太大的變化，主要是因為帶寬較低，系統冗余較大、負荷較少，系統轉發時延影響最小（如圖3、圖5所示），圖6反映本文提到的方法系統包轉發速率優于普通個人防火墻。
    （2）當80 Mb/s≤β1≤200 Mb/s時，圖3～圖6中曲線變化比較平穩，反映過濾代價α在過濾過程中系統較為穩定地運行；圖4～圖6中，采用本文方法的系統審計時間、包轉發速率等性能不僅優于普通防火墻而且性能穩定，采用虛擬磁盤的內核反鉤子技術的轉發時延降低，包轉發速率加快。
    （3）當β1>200 Mb/s時，兩種情況系統過濾代價等性能隨之降低，隨著網絡負荷增加，采用內核鉤子技術其過濾代價曲線相對平穩、變化趨勢較緩和，圖4～圖6說明此時仍有較好的穩定性。
    在本系統環境下，每次接收2萬個數據包，進行20次測試，得出平均值，獲得在普通個人版防火墻審計過濾情況（非法信息過濾率約99.996%）與采用基于進程防火墻與虛擬磁盤的內核反鉤子技術的非法信息流過濾情況（非法信息過濾率約99.998%），在非法信息捕捉能力要好過普通防火墻審計，系統審計時間并沒有明顯降低，通過合法信息流映射虛擬磁盤技術，降低了轉發時延，提高了包轉發速率。
    在信息安全領域對非法信息審計時采用進程防火墻與虛擬磁盤技術、內核鉤子技術能有效改善信息流中非法信息的捕捉能力，其具體表現在：一是采用關鍵字（或信息流特征）映像虛擬磁盤減少尋道時間，提高包轉發速率；二是在合適的網絡帶寬（例如本系統80 Mb/s≤β1≤200 Mb/s）時，高效發揮了CPU、緩存和防火墻的作用，實際測試中的審計時間不會大幅增加，但降低了系統轉發時延，并提高了系統服務器的包轉發速率和非法信息的捕捉能力。
參考文獻
[1] ANDREI B，MICHAEL M.Network applications of bloom  filters:a survey[J].Internet Mathematics，2005，1(4)：485-509.
[2] FREDRIKSSON K.On-line approximate string matching in  natural language[J].Fundamenta Informaticae，2006，72(4)：453-466.
[3] 王潔.基于FPGA的硬件防火墻內容過濾技術研究[D].哈爾濱：哈爾濱工業大學，2009.    
[4] 趙躍華，周萬勝.防火墻過濾規則動態生成方案設計[J].計算機工程，2012(2)：135-137，140.
[5] 侯整風，龐有祥.多核防火墻分層內容過濾的時延分析[J].計算機工程與應用，2011(12)：93-96.
[6] 溫貴江.基于數據包過濾技術的個人防火墻系統設計與研究[D].吉林：吉林大學，2010.
[7] 胡連勇.基于Netfilter框架的校驗字過濾防火墻的設計與實現[D].成都：電子科技大學，2007.
[8] 黃利斌，寇雅楠.基于依存句法的網頁內容防火墻設計[J].計算機工程與設計，2011(5)：1597-1560，1608.
[9] 杜飛.基于特征字的病毒過濾防火墻技術研究[D].北京：北方工業大學，2010.
[10] 張雪峰，周順先.一種基于網絡安全設備聯動的數據包阻斷方法[J].計算機與網絡，2011，37(12)：68-71.