計算機科學與技術專業的開題報告

一、研究背景及意義

隨着信息技術的發展，人們越來越依賴於計算機來處理關鍵資料，並且逐步摒棄字紙處理方式，因而整個社會中電子檔案信息的激增。如何去維護這些電子信息的安全，防止其泄漏和損壞也同時越發的引起關注。另外隨着移動存儲設備尤其是USB設備的快速發展和便捷，這個問題越發的嚴重起來。本課題主要針對研究Windows下通過USB方式轉移資料的行為進行監控，確保電子資料通過USB傳播的有據可尋，以便於安全審計和統計。

由於USB總線較高的接口速率和靈活方便的使用特性，使得越來越多的存儲設備使用USB接口來接入計算機，如閃存盤、移動硬盤等。基於USB接口的存儲設備已取代軟盤，成為一種重要的信息交換方式。但USB存儲設備的廣泛使用帶來了許多安全隱患：

(1)竊密者可以在合法用户不在場的情況下，利用USB存儲設備快速地將個人隱私、國家機密或商業敏感信息取走，並且不會留下痕跡;

(2)合法用户的違規操作和逾權動作可以把USB存儲設備作為中轉媒;

(3)USB存儲設備可作為病毒載體以及開機鑰匙等。上述安全隱患都對主機安全構成了較大威脅。因此，對USB存儲設備的安全實施監控具有重要意義。目前很多保密單位在物理上禁用USB端口，這會給用户帶來很多不便。而一些基於用户態的USB存儲設備監控軟件很容易被病毒、木馬等惡意程序繞過，無法完成有效、實時的監控。本文采用基於驅動層的技術實現其主要的監控功能，相對應用層，更加安全和穩定。

二、國內外研究情況

1、Linux操作系統：

因其具有源碼開放，穩定，可靠。安全等顯著優點。在電子政務中得到了廣泛應用。此類應用的安全性要求較高，特別是內部網。據統計，80%的安全事件來自內部網。其中USB接口是內部網絡信息泄密的一個重要途徑 由於USB設備種類眾多且使用廣泛.僅僅簡單地禁用USB接口會使其他的USB設備(如USB鼠標、USB鍵盤、ikey等)無法正常使用，給用户帶來很多不便。文中在Linux環境下實現了一個分佈式USB設備監控系統.可以根據管理員制定的安全策略分類禁用USB設備.以便管理員對網絡中各主機的USB設備進行細粒度的管理。該系統的主要功能是以內核模塊的形式實現的.相對於應用層程序而言。其可靠性高並且很難被用户破解。

2、USB監控基本情況：

Linux的USB子系統分為USB客户軟件、USB核心層和主控制器驅動程序3個層次。

USB客户軟件是特定設備驅動程序的主機部分.主要完成設備功能驅動，為了和設備正常通信，它通過10請求包(IRP.I/O Request Packet)向USB內核發出數據接收或發送請求。USB內核則為客户端驅動程序層和主機控制器驅動函數提供了一套函數集。HCD(Host Controller Driver)與主機控制器合作完成USB各種事務處理[”對於USB設備的所有操作都是通過向USB設備發送相應的IRP完成的。本系統將攔截所有發給USB設備的IRP並對其中的內容進行分析.得到USB設備的設備類型，如存儲類設備、USB集線器類設備或者廠商自定義設備等.然後根據安全策略文件來決定是否允許這個設備使用。USB設備監控系統中的關鍵問題是IRP攔截.判斷設備類型以及對廠商自定義類設備的管理。

3、IRP攔截技術：

為了實現數據傳輸內核提供了一個數據結構稱為URB(USB Request Block)。一個URB由執行任何一個USB事務信息、分發數據信息和回傳的狀態信息組成。URB中具有USB數據傳輸的所有信息，包括傳輸類型、傳輸方向、數據緩存區、數據傳輸的設備、端點、返回信息及指向傳輸完成的處理函數的指針。從圖l中可以看出。所有的USB設備I/O請求最終都由總線提交函數usbmit_ttrb(struct urb*urb)發送到USB總線上.因此可以通過攔截usb_submit urb函數.對所有的URB數據包進行分析的方法來實現對USB設備的控制。目前x(所支持的主控制器主要有OHC(Open Host Controller) 和UHC (Universal HostController) 種控制器的驅動程序分別是ohci.0和 subruit urb函數就是由這兩個模塊提供的一般情況下。一台計算機只有一種控制器。Linux考慮了有多種控制器的可能性併為將來擴展更多的控制器提供了方便。

因此，攔截usb submit urb函數就是要攔截內核模塊的導出函數。Linux採用整體式內核結構.如果要對內核功能進行修改或充.必須重新編譯整個內核。這給擴展內核功能帶來諸多不便。因此。Linux提供了一種新的機制：動態可加載內核模塊 內核模塊將一些需要擴展的功能先單獨編譯成一組目標代碼.該代碼是核心的一分.但並沒有編譯到內核裏面去.可以根據需要在系統啟動後動態地加載到系統核心中.當模塊不再需要時，可以動態地從系統核心卸載。核心符號表中維護着一個核心資源鏈表.在加載模塊時.它能夠解析出模塊中對核心資源的引用 某個模塊對其他模塊的服務或資源的需求類似於模塊對核心本身資源或服務的請求.不過此時所請求的服務是來自另外一個已加載的模塊 每當加載模塊時核心將把該加載模塊輸出的所有資源和符號添加到核心符號表中21核心符號表中包含模塊導出函數名、變量的名字和其相應的地址通過更改函數地址值的方法可以對函數調用進行攔截。

但這種方法在攔截模塊導出函數的時並不適用。如前所述，模塊在加載的過程中會使用核心符號表中的信息對引用的函數和變量進行重定向。這種訪問是一次性的。系統在內核級中執行時，訪問了大量的寄存器，而很多寄存器值是由上層調用者提供的。如果改變這些寄存器值.系統會變得不穩定。很可能出現不可預料的後果。

因此使用hook函數的最佳原則是：在hook函數中調用原函數時。所有寄存器的值與被hook前的信息一樣 普通的C函數調用都提供了函數堆棧切換操作。而在funl和fun2中要使用原函數的堆棧來獲取傳人的參數地址.因此這兩個函數必須用匯編語言編寫這裏分析一下攔截代碼的穩定性 在整個操作系統運行期間.系統服務會經常被調用。當一個進程調用了被hook的系統服務.這時如果發生了進程切換，則另一個進程再次調用相同的系統服務時.就會出現此次調用沒有被hook的情況 雖然可以通過關閉中斷方法加以避免.但對系統性能影響比較大USB子系統的數據傳輸通常不是提交一次URB就能完成的。

偶爾漏掉了一個URB並不會影響對數據傳輸的禁用效果.所以這裏完全可以忽略這種情況 在實際的測試和使用中沒有出現禁用失效的情況。

三、監控系統應用價值與基本方法

監控系統在已有研究成果的基礎之上，對誤差控制、大塊數據處理、地形簡化等算法和實現技術進行了改進。包圍盒進行LOD誤差處理，大大地提高了算法的效率，該算法已經應用到研製的某衞星網管仿真測試系統中，取得了良好的效果。算法使用的是存儲在本地的地形數據，未來有可能通過網絡使用實時的真實地形數據，此時內存映射文件將失效，因此需要進一步考慮如何有效地加載和傳輸來自網絡的數據，從而實時顯示真實的地形。另外，使用C++語言實現算法和地形顯示，可以進一步提高軟件的效率。基於USB的CAN總線系統監控平台的開發成功，為CAN總線控制系統的開發、調試和診斷提供了得力工具。無論在實驗室還是在工業現場，開發人員都可方便地將CAN網絡與計算機互聯，實時監控系統的總線狀態。以此為基礎，今後還將進一步完善其上位機應用程序，豐富其監控的現場總線種類，使其成為基於CAN的多種現場總線的監控平台。

USB(universal serial bus)通用串行總線，是由Intel、康柏、微軟和NEC等公司共同推出的串行接口。它支持即插即用和帶電熱插拔，佔用的系統資源少，不會出現與其它外設資源衝突的情況，軟件安裝也很方便;其通信速度為1.5、12和480Mb/s，突破了傳統計算機串行通信接口(如RS一232)與高速外設進行數據傳輸時的速度“瓶頸”;接口還可以提供最大5V/500mA的總線電源，小型USB設備無需外擴電源，簡化電路設計。USB接口已經成為PC的標準接口。為了便於攜帶使用，在下位橋接器設計中均採用體積小、功耗低的平面封裝器件，這可以減小體積、充分利用USB總線供電。另外，在下位橋接器設計中還設計了數據緩衝和CAN總線通信錯誤識別功能，這樣可以進一步避免系統監控數據的丟失，並且能在CAN總線通信出錯時提供詳細的狀態記錄信息，提高平台的監控性能。

一個USB設備插入到計算機USB端口上時，操作系統硬件管理程序將會發現設備，然後查找該設備的驅動程序是否存在，如果存在，系統加載驅動程序，然後給USB設備分配盤符等。

從上面的分析中可以知道，如果要阻止USB設備在計算機上使用，至少有兩個方法可以使用：一是修改設備驅動程序，在設備驅動程序裏面加入對設備進行判斷的代碼，從而阻止非授權USB設備在系統上的識別;第二種方法是不修改驅動程序，而在USB設備枚舉完成後，立即把設備卸載，從而在系統中無法使用該設備。

上面兩種方法中，第一種需要熟悉驅動程序開發技術，難度比較大;第二種原理比較簡單，實現起來也相對容易。本文將採用第二種方法。第二種方法的原理是：當插入USB存儲設備時，應該立即獲取該USB設備的信息，然後判斷這些信息是否是經過授權的，如果非法，立即調用卸載函數卸載該USB設備。系統可以分為三部分：USB存儲設備的檢測、USB設備信息的讀取判斷、設備的卸載。

四、小結

總之，面向端系統的行為安全監控系統是針對Windows平台的。隨着Windows平台在電子政務中的日益廣泛應用.面向Windows平台的行為安全監控系統將具有廣泛的應用前景，課題設計提出的USB設備監控技術不僅可以對USB設備行為進行有效監控.還同樣適用於對並口設備及光驅類設備進行監控.具有普遍的指導意義。此課題具有可以成功解決保密要求較高的個人和單位只能在物理上禁用USB端口、使用不靈活的問題。軟件關鍵功能的實現，可優先監控到USB儲存設備，不易被惡意程序繞過，軟件資源的佔有率低等優點。

參考文獻

[1] 劉蕊紅，蔡皖東，張 贅. 面向Linux的USB設備監控技術研究與實現[J]. 西安：西北工業大學,2019.

[2] 張贊 蔡皖東 王胡. 基於IRP攔截技術的USB設備監控系統[D]. 西安：西北工業大學,2019.

[3] Walter ramming the Microsoft Windows Driver Mode1[M] Francisco, Microsoft Press, 1999.

[4] Art Baker，Jerry Windows2019 Device Driver Book[M] Francisco, Prentice Hall PTR,2019.

[5] 王成儒，李英偉 2.0原理與工程開發[M].北京：國防工業出版社,2019:34-36.

[6] 肖踞雄，翁鐵成，宋中慶技術及應用設計[M].北京：清華大學出版社，2019.

[7] 陳莉君.深入分析Linux內核源代碼[M].北京：人民郵電出版社,2019.

[8] 張贊，蔡皖東，王弱.基於IRP攔截技術的USB設備監控系統[J].微電子學與

計算機，2019，22(12)：179-183.

[9] Daniel P Bovet，Macro rstanding the Linuxkerne1[M] York:O ’reillk,2019.

[10]Peter Jay Salzman, IJnux kernel program module guide[M], New York:Academic Pr ,2019.

[11]陽憲惠，主編.現場總線技術及其應用[M].北京：清華大學出版社，1999.

[12]現場總線技術的發展.全國高校製造自動化研究會東北、華北地區2019年學術會議論文集[C]. 天津[出版者不詳]：2019.

[13]尹羅生，等.一種具有USB接13的通信控制器的設計實現[J].電力系統自動化，2019,18(12)：65-68.

[14]潘琢金，施國君.C8051Fxxx高速SOS單片機原理及應用[M].北京：北京航空航天大學出版社，2019.

[15]Jan 大全[M].陳逸，譯.北京：中國電力出出版社，2019.