基于計算機資源知識庫的安全預警系統設計

李志偉，李 岳

（1.空軍第一航空學院航空軍械工程系，河南信陽464000；2.信陽市供電公司科技信息部，河南信陽464000）

0 引 言

隨著網絡應用的普及和深入，計算機系統面臨的安全風險越來越大，為了盡量減少因安全問題造成的損失，市場上出現了很多計算機安全的相關產品，如防火墻軟件、病毒實時監控軟件等，可以對黑客攻擊、病毒入侵等進行一定的防范和預警，具有一定的通用性。由于這些軟件的設計都是建立在已知的通用知識庫基礎上的，因此，如果黑客通過網絡篡改計算機系統的軟件配置，修改硬件設備的技術參數，如 BIOS代碼［1］、硬盤序列號［2－3］等，可能表現不出任何病毒特征，然而卻給計算機安全帶來了更大的風險，尤其對于諸如網絡服務器［4］、監控計算機［5］等擔負重要任務的系統，如何針對計算機本身的個性化配置、專用硬件設備等，設計一套具有資源檢測和安全預警的防護系統，是有效降低計算機安全風險、提高系統運行可靠性的重要手段。為此，本文提出了一種基于用戶計算機自身硬件和軟件資源知識庫的安全預警系統設計方案，以期從設備層次上保障計算機的應用安全。

1 基于知識庫的專家診斷系統

通常情況下，計算機系統運行的安全性、可靠性主要取決于系統自身硬件和軟件的技術性能［6］。為了避免黑客攻擊、病毒入侵等對系統造成的破壞，系統運行時，需要定時對這些硬件資源和軟件資源進行性能檢測，及時掌握相關設備的工作狀況，以便對可能出現的安全隱患采取必要的防護措施［7］，因此，對于計算機安全預警系統的設計，關鍵是建立計算機自身硬件資源和軟件資源相關數據信息的知識庫，通過專家診斷系統［8］判斷其安全性，診斷組織結構如圖1所示。

圖1 專家診斷系統組織結構

由圖1可知，該專家診斷系統主要由知識庫、推理機、解釋機和診斷接口四部分組成。其中知識庫又由規則庫和事實庫兩部分組成。規則庫主要用于存放系統中數據的轉換、比對規則等，事實庫主要用于存放系統預先檢測到的已知軟、硬件資源數據，包括直接測試的數據和間接計算的數據等。在系統應用過程中，需要對相應的事實數據進行結構化、規范化處理，尤其是對于計算機可能出現高安全風險的設備還要進行重點標識。

規則庫設計主要考慮數據的容錯性、完整性、安全性、互操作性，以及數據產生、關聯等方面的規則。事實庫設計主要考慮事實數據的典型性、全面性、完備性，以及事實數據在庫中的存儲形式等，便于系統分類、檢索。規則庫是整個系統診斷、推理的規范、標準，事實庫是整個專家系統的數據基礎。

推理機是當前用戶數據與知識庫中事實數據比對、判斷的控制程序，主要用于判斷當前數據或問題的正確性。解釋機主要用于向用戶解釋系統的推理結果，在該診斷系統中，通常只在結果異常的情況下調用解釋機，通過診斷接口實現對計算機系統的安全預警。

2 事實庫的構建與實現

2.1 事實庫的構建

在專家診斷系統中，由于知識庫中的事實庫構成了計算機安全風險評估判斷的數據基礎，因此事實庫的設計與構建在整個系統設計中起著至關重要的作用。根據系統設計的目標要求，事實庫構建的主要任務是對計算機現有資源信息數據進行收集和處理。

一個計算機系統擁有的資源很多，不但包括硬件資源，而且包括軟件資源。為了使事實庫設計更加完善，需要對影響系統安全的軟硬件因素進行綜合分析，在數據結構方面，應當重點考慮所需的數據類型，如設備型號、設備屬性、技術參數等，以保證數據采集的完整性；在數據庫構建實施中，應當注意數據檢測的完整性，以及數據存儲的正確性，具體構建流程如圖2所示。

圖2 事實庫構建方法

2.2 基于WMI的設備管理

在事實庫設計和系統安全預警中，設備參數的檢測是一項復雜的技術工作。通常情況下，系統硬件參數在設備出廠之前已經完成，并已固化在了設備內部；軟件參數在軟件安裝完成之后便已產生，存儲在了操作系統內部。由于該系統設計的基本原理是通過對設備基本參數的檢測與比對，判斷系統的安全風險，因此能否找到一種便捷的方法快速完成系統設備參數的檢測工作，是整個系統設計的關鍵。

從Windows 2000開始，操作系統提供了一種更加便捷的設備管理技術，即 Windows管理規范（Windows management instrumentation，WMI），可以實現對計算機硬件資源和軟件資源的管理。WMI是WBEM的一種實現。WBEM即 Web－Based Enterprise Management（基于 Web的企業管理），其數據模型是公共信息模型（common information model，CIM）。

CIM是一個用來命名計算機物理和邏輯單元的標準命名系統，提供了一個通用的模型框架，可以描述計算機系統的主要組成部分，包括網絡、服務、計算機系統、應用程序、數據庫、用戶、設備、策略等，成為構建上層信息管理軟件的基礎模型。CIM是一個面向對象的模型［9］，包含被管理單元的類，它的實例被稱為對象，代表著底層系統的一個具體單元。

WMI是Microsoft擴展CIM 2.0得到的面向 Win32系統的擴展模型，通過引用WMI類的屬性對相應的管理對象進行操作，其具體的引用形式是：擴展前綴＿類名稱。屬性名稱，如 Win32＿ComputerSystem.Name，其中 Win32是CIM的模式，是CIM 2.0名稱空間內WMI擴展類的前綴，ComputerSystem是類，Name是屬性。

2.3 設備參數的檢測

為了更直觀地說明設備參數的檢測過程，下面以VB 6.0下網卡信息檢測為例，說明程序設計的具體方法［10－11］。

在VB 6.0下，為了使用WMI功能實現設備的信息檢測，需要在開發環境 “引用”對話框中引用Microsft WMI Scripting V1.X Libray，在程序設計中通過獲取類名標識為Win32＿NetworkAdapterConfiguration的托管資源，讀取對應的Description屬性值，創建指定網卡名稱的實例。根據實例的IPAddress、IPSubnet、DefaultIPGateway和 DNSServerSearchOrder屬性值，獲取當前計算機的IP地址、子網掩碼、默認網關和DNS信息［12］。核心程序代碼如下：

Set objSWbemObjectSet＝objSWbemServices.ExecQuery（"Select＊ From Win32＿NetworkAdapterConfiguration Where

其中，List1為 “網卡列表”文本框，Text1–Text4分別對應網卡IP地址、子網掩碼、默認網關和DNS信息的屬性檢測值。

檢測演示界面如圖3所示。

圖3 網卡信息檢測演示界面

3 計算機安全預警系統的設計

通過上述分析可知，基于用戶計算機資源知識庫的安全預警系統實際上是通過一定的檢測手段，對影響計算機安全的硬件和軟件設備信息進行實時檢測［13］，產生對應設備的特征數據，通過推理機，調用知識庫中的推理規則，與預先建立的知識庫中的事實數據進行比對，檢查匹配情況，根據匹配結果做出正確判斷。如果信息匹配，說明對應的設備安全，否則調用解釋機，通過診斷接口向用戶發出安全預警，并解釋診斷結果，必要時調用輔助支持系統，提供相應的處理措施或給出問題的備選解決方案［14－15］。

系統采用定時器控制，定時檢測系統的安全狀況，程序設計流程如圖4所示。

圖4 計算機安全預警系統設計原理

4 實驗與分析

4.1 入侵破壞實驗

根據上述設計原理，首先針對用戶計算機創建知識庫，設計完成計算機安全預警軟件，運行該軟件系統，使其一直處于計算機監控狀態。

人工修改本機IP地址，預警軟件及時進行了預警，通過診斷專家系統自動調用知識庫中的解釋機，提供備選解決方案——自動運行IP設置程序，如圖5所示。

圖5 IP地址預警設置界面

根據提示，可 “恢復已認證IP”、“更新當前IP為認證地址”。若選擇后者，則系統可自動更新知識庫，將當前IP作為新的認證地址。

4.2 實驗結論

從上述實驗可以看出，基于計算機資源知識庫的安全預警系統，有如下幾個方面的特點：

（1）由于知識庫中事實庫的創建是以計算機系統自身資源參數為基礎的，因此只要某一參數被修改，系統便可啟動推理機和解釋機，給出準確的預警信息，并提供相應的備選保護措施。

（2）如果由于人為因素更換了部分硬件，或對部分軟件進行了升級、替換等，系統也能及時預警，并提供相應的功能對知識庫進行更新。

（3）由于該預警系統是針對用戶計算機專有資源信息而設計的，因此安全預警更個性、更準確。

4.3 分析評估

（1）由于知識庫中事實數據的定義和設置可由用戶自己選擇完成，因此事實數據定義的完備性和典型性將直接影響安全預警的準確率。

（2）推理機和解釋機是預警系統與知識庫連接的橋梁，其設計質量對知識庫更新和整個預警系統性能的提升具有至關重要的作用。

（3）計算機設備參數的檢測與設置是安全預警系統設計的一個復雜問題。本系統采用WMI技術，利用Windows操作系統的設備管理功能，簡化了程序設計，提高了設計效率。

5 結束語

基于計算機資源知識庫的安全預警系統設計涉及內容較多，既有人工智能技術、數據庫技術，又有接口技術、設備檢測技術等，是一個智能化的應用軟件。實驗證明，該系統可自動設置或定制用戶自己計算機硬件和軟件資源信息知識庫，并能實現正確診斷和安全預警，對于經常與外部進行信息交換的個人計算機或擔任重要任務的服務器等，可以有效降低安全風險，提高系統運行可靠性，克服了市場上一些通用安全軟件對計算機自身資源，尤其是硬件安全保護的不足，具有更深的底層保護特色。然而，由于系統運行時需要定時進行信息檢測，這樣便造成了對計算機CPU和內存資源的耗費，有效改進信息檢測手段、提高安全預警智能化水平，是軟件系統進一步完善的目標。

［1］WANG Xiaozhen，ZHOU Zhenliu，LIU Baoxu.Design and implementation of BIOS sampling and analyzing system［J］.Computer Engineering，2011，37（11）：7－9（in Chinese）.［王曉箴，周振柳，劉寶旭.BIOS采樣分析系統的設計與實現［J］.計算機工程，2011，37（11）：7－9.］

［2］LEI Jin’e，TIAN Wei，LI Peiwu.Architecture research and design based on FPGA for software protection［J］.Computer Engineering and Design，2009，30（7）：1580－1582（in Chinese）.［雷金娥，田偉，李沛武.基于FPGA的軟件保護體系結構研究與設計［J］.計算機工程與設計，2009，30（7）：1580－1582.］

［3］HU Wei，MU Dejun，LIU Hang，et al.Design and implementation of hardware－encrypted mobile hard disk drive［J］.Computer Engineering and Applications，2010，46（22）：62－64（in Chinese）.［胡偉，慕德俊，劉航，等.移動硬盤硬件加密的設計與實現［J］.計算機工程與應用，2010，46（22）：62－64.］

［4］GAO Guozhu，WU Haiyan.Design and applying of web application security detecting system［J］.Computer Engineering and Design，2010，31（17）：3760－3762（in Chinese）.［高國柱，吳海燕.Web應用安全監測系統設計與應用［J］.計算機工程與設計，2010，31（17）：3760－3762.］

［5］YANG Fubao，WANG Jian.Embedded system and its application research in monitor system［J］.Manufacturing Automation，2011，33（12）：13－15（in Chinese）.［楊福寶，王建.嵌入式系統及其在監控系統中應用研究［J］.制造業自動化，2011，33（12）：13－15.］

［6］SUN Qiang.Network security management platform based on quantitative security risk assessment model［J］.Microelectronics ＆ Computer，2010，27（5）：70－73（in Chinese）.［孫強.基于定量安全風險評估模型的網絡安全管理平臺［J］.微電子學與計算機，2010，27（5）：70－73.］

［7］GONG Lei，ZHAO Yong.Research on architecture and implementation of application security supportive platform［J］.Computer Engineering and Design，2011，32（7）：2217－2220（in Chinese）.［龔雷，趙勇.應用安全支撐平臺體系結構與實現機制研究［J］.計 算 機工程與 設 計，2011，32（7）：2217－2220.］

［8］LI Zhiwei.The transplant of database system applications based on ODBC［J］.Computer Engineering and Design，2009，30（12）：2985－2988（in Chinese）.［李志偉.基于 ODBC的數據庫系統應用程序的移植［J］.計算機工程與設計，2009，30（12）：2985－2988.］

［9］HOU Baochen，DENG Feiqi.Embedded management system based on CIM［J］.Computer Engineering and Design，2011，32（6）：1957－1960（in Chinese）.［侯寶臣，鄧飛其.基于CIM的嵌入式管理系統開發［J］.計算機工程與設計，2011，32（6）：1957－1960.］

［10］LAN Yong，ZHANG Bo.Rea1－time control of embedded device based on private IP address in interne［J］.Measurement ＆ Control Technology，2011，30（4）：67－69（in Chinese）.［蘭勇，張博.私有IP地址環境中的嵌入式設備實時控制技術研究［J］.測控技術，2011，30（4）：67－69.］

［11］LI Zhiwei.Study on class based software reuse technology in VB environment［J］.Computer Engineering and Design，2010，31（5）：1152－1155（in Chinese）.［李志偉.VB環境下基于類的軟件復用技術研究［J］.計算機工程與設計，2010，31（5）：1152－1155.］

［12］SUN Xiumei，GONG Jianhua.Visual Basic development of actual combat 1200cases［M］.Beijing：Tsinghua University Press，2011：946－948（in Chinese）.［孫秀梅，鞏建華.Visual Basic開發實戰1200例［M］.北京：清華大學出版社，2011：946－948.］

［13］SONG Guangjie，ZHANG Minghui，LI Jingjiao.Research of embedded network communications based on hardware encryption［J］.Application of Electronic Technique，2010，36（1）：148－150（in Chinese）.［宋光杰，張明慧，李晶皎.基于硬件加密的嵌入式網絡通信的研究［J］.電子技術應用，2010，36（1）：148－150.］

［14］LIU Wei，HU Ping.File encryption system design based on file system filter driver［J］.Microelectronic and Computer，2009，26（4）：114－117（in Chinese）.［劉偉，胡平.基于文件系統過濾驅動的文件加密系統設計［J］.微電子學與計算機，2009，26（4）：114－117.］

［15］YU Huifang，WANG Caifen，WANG Zhicang，et al.Certificateless multi－proxy signcryption scheme［J］.Computer Engineering and Design，2010，31（5）：973－975（in Chinese）.［俞惠芳，王彩芬，王之倉，等.無證書的多代理簽密方案［J］.計算機工程與設計，2010，31（5）：973－975.］