安全审计机制的设计与实现-20103273-李正熹

上海电力学院计算机系统安全课程设计报告题 目: 安全审计机制的设计与实现 学生姓名： 李正熹 学 号： 班 级： 院 系： 计算机科学与技术学院 专业年级： 信息安全 2010 级 2013年 7月 5日一、 设计内容及要求安全审计机制的设计与实现要求：设计并实现安全审计机制，需要具备以下功能：（1） 定义系统中需要监视的审计事件；（2） 监视审计事件，生成统一的日志信息；（3） 日志信息保存到一个指定的日志文件中。二、 软件环境或工具操作系统：Windows 7软件：Microsoft Visual Studio 2008三、 安全机制设计开始监视进程信息否审计事件进程是否打开流程图是记录文件创建时间记录时间审计时间记录文件最后修改时间输出到syslog.txt监视进程信息是审计事件进程是否关闭否安全审计机制的实现，通过对于进程的监控，枚举了所有进程，判断需要监视的审计时间进程是否已经执行，没执行则继续循环判断进程是否运行，当判断所需要监视的审计事件进程存在，并且进程已经执行，记录下创建时间、最后访问时间和最后写时间，存放到日志文件syslog.txt中，并且继续监视进程，进程若结束则继续循环这些步骤，以达到实时监控审计时间。四、 安全机制实现获取文件创建时间最后访问时间最后写时间BOOL GetFileTime(HANDLE hFile, /打开文件句柄LPFILETIME lpCreationTime, /文件创建时间LPFILETIME lpLastAccessTime, /文件最后访问时间LPFILETIME lpLastWriteTime /文件最后写时间);判断进程是否正在执行BOOL FindProcess(string strProc) int i=0; PROCESSENTRY32 pe32; /存放快照进程信息结构体pe32.dwSize = sizeof(PROCESSENTRY32); /返回一个对象或者类型所占的内存字节数HANDLE hProcessSnap = :CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if(hProcessSnap = INVALID_HANDLE_VALUE) /无效的返回值 cout创建进程快照句柄失败!= 1) return true; else return false; 五、 运行结果和截图 六、 程序清单#include stdafx.h#include #include#include #include#includeusing namespace std;BOOL FindProcess(string strProc) int i=0; PROCESSENTRY32 pe32; pe32.dwSize = sizeof(PROCESSENTRY32); HANDLE hProcessSnap = :CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if(hProcessSnap = INVALID_HANDLE_VALUE) cout创建进程快照句柄失败!= 1) return true; else return false; int _tmain(int argc, _TCHAR* argv) cout打开监视文本进行监测endl;loop:HANDLE hFile=INVALID_HANDLE_VALUE;hFile=CreateFile(c:1.txt,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,OPEN_EXISTING,FILE_FLAG_RANDOM_ACCESS,NULL);if(hFile=INVALID_HANDLE_VALUE)printf(Open file errorn);return false;FILETIME createTime;FILETIME lastAccessTime;FILETIME lastWriteTime;FILE *file;file=fopen(D:syslog.txt,a);if (file=NULL)cout打开文件失败！endl;while(1)if (!FindProcess(notepad.exe) continue; else if(GetFileTime(hFile,&createTime,&lastAccessTime,&lastWriteTime)SYSTEMTIME stCreatetime,stLastAccessTime,stLastWriteTime;memset(&stCreatetime,0x0,sizeof(stCreatetime);FileTimeToSystemTime(&createTime,&stCreatetime);TIME_ZONE_INFORMATION tz;:GetTimeZoneInformation(&tz);SYSTEMTIME localSTCreateTime,localSTlastAccesstime,localSTLastWriteTime;:SystemTimeToTzSpecificLocalTime(&tz,&stCreatetime,&localSTCreateTime);fprintf(file,创建时间为：%d-%d-%d %d:%d:%dn,localSTCreateTime.wYear,localSTCreateTime.wMonth,localSTCreateTime.wDay,localSTCreateTime.wHour,localSTCreateTime.wMinute,localSTCreateTime.wSecond);CloseHandle(hFile);SYSTEMTIME st;GetLocalTime(&st);HANDLE hFile=INVALID_HANDLE_VALUE;hFile=CreateFile(c:1.txt,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,OPEN_EXISTING,FILE_FLAG_RANDOM_ACCESS,NULL);if(GetFileTime(hFile,&createTime,&lastAccessTime,&lastWriteTime)fprintf(file,审计时间为：%d-%d-%d %d:%d:%dn,st.wYear,st.wMonth,st.wDay,st.wHour,st.wMinute,st.wSecond);SYSTEMTIME stLastWriteTime;memset(&stLastWriteTime,0x0,sizeof(stLastWriteTime);FileTimeToSystemTime(&lastWriteTime,&stLastWriteTime);TIME_ZONE_INFORMATION tz;:GetTimeZoneInformation(&tz);SYSTEMTIME localSTLastWriteTime;:SystemTimeToTzSpecificLocalTime(&tz,&stLastWriteTime,&localSTLastWriteTime);fprintf(file,前一次写入时间为：%d-%d-%d %d:%d:%dnn,localSTLastWriteTime.wYear,localSTLastWriteTime.wMonth,localSTLastWriteTime.wDay,localSTLastWriteTime.wHour,localSTLastWriteTime.wMinute,localSTLastWriteTime.wSecond);CloseHandle(hFile);fclose(file);Sleep(1000);if(!FindProcess(notepad.exe)goto loop;return 0;七、 总结 本次对于操作系统实验，我做的是安全审计这个内容，因为安全审计课本上涉及的知识不是很详细，所以在完成课程设计的时候遇到了很多阻力，对很多windows系统编程的语言不是很熟悉所以在实现上花费了较多的时间。关于安全审计，是系统中非常重要的一部分，linux中syslog服务提供这个功能，通过守护进程syslogd实时监控系统中的时间，并且同意生成日志信息放在本地目录，安全审计可以确定计算机工作状况，检测受到的攻击，也可以取证等。我实现的是在windows平台下的审计，在windows平台下最好的是使用服务来实现，但是我不会创建服务，通过VS2008来模拟实现了一个守护进程的工作原理，这次实验里，在自己整理相关知识的同时，也借鉴了很多windows编程的语言和函数等，对于windows平台下的编程有了进一步的认识，在以后还