基于计算机资源知识库的安全预警系统设计

李志伟，李 岳

（1.空军第一航空学院航空军械工程系，河南信阳464000；2.信阳市供电公司科技信息部，河南信阳464000）

0 引 言

随着网络应用的普及和深入，计算机系统面临的安全风险越来越大，为了尽量减少因安全问题造成的损失，市场上出现了很多计算机安全的相关产品，如防火墙软件、病毒实时监控软件等，可以对黑客攻击、病毒入侵等进行一定的防范和预警，具有一定的通用性。由于这些软件的设计都是建立在已知的通用知识库基础上的，因此，如果黑客通过网络篡改计算机系统的软件配置，修改硬件设备的技术参数，如 BIOS代码［1］、硬盘序列号［2－3］等，可能表现不出任何病毒特征，然而却给计算机安全带来了更大的风险，尤其对于诸如网络服务器［4］、监控计算机［5］等担负重要任务的系统，如何针对计算机本身的个性化配置、专用硬件设备等，设计一套具有资源检测和安全预警的防护系统，是有效降低计算机安全风险、提高系统运行可靠性的重要手段。为此，本文提出了一种基于用户计算机自身硬件和软件资源知识库的安全预警系统设计方案，以期从设备层次上保障计算机的应用安全。

1 基于知识库的专家诊断系统

通常情况下，计算机系统运行的安全性、可靠性主要取决于系统自身硬件和软件的技术性能［6］。为了避免黑客攻击、病毒入侵等对系统造成的破坏，系统运行时，需要定时对这些硬件资源和软件资源进行性能检测，及时掌握相关设备的工作状况，以便对可能出现的安全隐患采取必要的防护措施［7］，因此，对于计算机安全预警系统的设计，关键是建立计算机自身硬件资源和软件资源相关数据信息的知识库，通过专家诊断系统［8］判断其安全性，诊断组织结构如图1所示。

图1 专家诊断系统组织结构

由图1可知，该专家诊断系统主要由知识库、推理机、解释机和诊断接口四部分组成。其中知识库又由规则库和事实库两部分组成。规则库主要用于存放系统中数据的转换、比对规则等，事实库主要用于存放系统预先检测到的已知软、硬件资源数据，包括直接测试的数据和间接计算的数据等。在系统应用过程中，需要对相应的事实数据进行结构化、规范化处理，尤其是对于计算机可能出现高安全风险的设备还要进行重点标识。

规则库设计主要考虑数据的容错性、完整性、安全性、互操作性，以及数据产生、关联等方面的规则。事实库设计主要考虑事实数据的典型性、全面性、完备性，以及事实数据在库中的存储形式等，便于系统分类、检索。规则库是整个系统诊断、推理的规范、标准，事实库是整个专家系统的数据基础。

推理机是当前用户数据与知识库中事实数据比对、判断的控制程序，主要用于判断当前数据或问题的正确性。解释机主要用于向用户解释系统的推理结果，在该诊断系统中，通常只在结果异常的情况下调用解释机，通过诊断接口实现对计算机系统的安全预警。

2 事实库的构建与实现

2.1 事实库的构建

在专家诊断系统中，由于知识库中的事实库构成了计算机安全风险评估判断的数据基础，因此事实库的设计与构建在整个系统设计中起着至关重要的作用。根据系统设计的目标要求，事实库构建的主要任务是对计算机现有资源信息数据进行收集和处理。

一个计算机系统拥有的资源很多，不但包括硬件资源，而且包括软件资源。为了使事实库设计更加完善，需要对影响系统安全的软硬件因素进行综合分析，在数据结构方面，应当重点考虑所需的数据类型，如设备型号、设备属性、技术参数等，以保证数据采集的完整性；在数据库构建实施中，应当注意数据检测的完整性，以及数据存储的正确性，具体构建流程如图2所示。

图2 事实库构建方法

2.2 基于WMI的设备管理

在事实库设计和系统安全预警中，设备参数的检测是一项复杂的技术工作。通常情况下，系统硬件参数在设备出厂之前已经完成，并已固化在了设备内部；软件参数在软件安装完成之后便已产生，存储在了操作系统内部。由于该系统设计的基本原理是通过对设备基本参数的检测与比对，判断系统的安全风险，因此能否找到一种便捷的方法快速完成系统设备参数的检测工作，是整个系统设计的关键。

从Windows 2000开始，操作系统提供了一种更加便捷的设备管理技术，即 Windows管理规范（Windows management instrumentation，WMI），可以实现对计算机硬件资源和软件资源的管理。WMI是WBEM的一种实现。WBEM即 Web－Based Enterprise Management（基于 Web的企业管理），其数据模型是公共信息模型（common information model，CIM）。

CIM是一个用来命名计算机物理和逻辑单元的标准命名系统，提供了一个通用的模型框架，可以描述计算机系统的主要组成部分，包括网络、服务、计算机系统、应用程序、数据库、用户、设备、策略等，成为构建上层信息管理软件的基础模型。CIM是一个面向对象的模型［9］，包含被管理单元的类，它的实例被称为对象，代表着底层系统的一个具体单元。

WMI是Microsoft扩展CIM 2.0得到的面向 Win32系统的扩展模型，通过引用WMI类的属性对相应的管理对象进行操作，其具体的引用形式是：扩展前缀＿类名称。属性名称，如 Win32＿ComputerSystem.Name，其中 Win32是CIM的模式，是CIM 2.0名称空间内WMI扩展类的前缀，ComputerSystem是类，Name是属性。

2.3 设备参数的检测

为了更直观地说明设备参数的检测过程，下面以VB 6.0下网卡信息检测为例，说明程序设计的具体方法［10－11］。

在VB 6.0下，为了使用WMI功能实现设备的信息检测，需要在开发环境 “引用”对话框中引用Microsft WMI Scripting V1.X Libray，在程序设计中通过获取类名标识为Win32＿NetworkAdapterConfiguration的托管资源，读取对应的Description属性值，创建指定网卡名称的实例。根据实例的IPAddress、IPSubnet、DefaultIPGateway和 DNSServerSearchOrder属性值，获取当前计算机的IP地址、子网掩码、默认网关和DNS信息［12］。核心程序代码如下：

Set objSWbemObjectSet＝objSWbemServices.ExecQuery（"Select＊ From Win32＿NetworkAdapterConfiguration Where

其中，List1为 “网卡列表”文本框，Text1–Text4分别对应网卡IP地址、子网掩码、默认网关和DNS信息的属性检测值。

检测演示界面如图3所示。

图3 网卡信息检测演示界面

3 计算机安全预警系统的设计

通过上述分析可知，基于用户计算机资源知识库的安全预警系统实际上是通过一定的检测手段，对影响计算机安全的硬件和软件设备信息进行实时检测［13］，产生对应设备的特征数据，通过推理机，调用知识库中的推理规则，与预先建立的知识库中的事实数据进行比对，检查匹配情况，根据匹配结果做出正确判断。如果信息匹配，说明对应的设备安全，否则调用解释机，通过诊断接口向用户发出安全预警，并解释诊断结果，必要时调用辅助支持系统，提供相应的处理措施或给出问题的备选解决方案［14－15］。

系统采用定时器控制，定时检测系统的安全状况，程序设计流程如图4所示。

图4 计算机安全预警系统设计原理

4 实验与分析

4.1 入侵破坏实验

根据上述设计原理，首先针对用户计算机创建知识库，设计完成计算机安全预警软件，运行该软件系统，使其一直处于计算机监控状态。

人工修改本机IP地址，预警软件及时进行了预警，通过诊断专家系统自动调用知识库中的解释机，提供备选解决方案——自动运行IP设置程序，如图5所示。

图5 IP地址预警设置界面

根据提示，可 “恢复已认证IP”、“更新当前IP为认证地址”。若选择后者，则系统可自动更新知识库，将当前IP作为新的认证地址。

4.2 实验结论

从上述实验可以看出，基于计算机资源知识库的安全预警系统，有如下几个方面的特点：

（1）由于知识库中事实库的创建是以计算机系统自身资源参数为基础的，因此只要某一参数被修改，系统便可启动推理机和解释机，给出准确的预警信息，并提供相应的备选保护措施。

（2）如果由于人为因素更换了部分硬件，或对部分软件进行了升级、替换等，系统也能及时预警，并提供相应的功能对知识库进行更新。

（3）由于该预警系统是针对用户计算机专有资源信息而设计的，因此安全预警更个性、更准确。

4.3 分析评估

（1）由于知识库中事实数据的定义和设置可由用户自己选择完成，因此事实数据定义的完备性和典型性将直接影响安全预警的准确率。

（2）推理机和解释机是预警系统与知识库连接的桥梁，其设计质量对知识库更新和整个预警系统性能的提升具有至关重要的作用。

（3）计算机设备参数的检测与设置是安全预警系统设计的一个复杂问题。本系统采用WMI技术，利用Windows操作系统的设备管理功能，简化了程序设计，提高了设计效率。

5 结束语

基于计算机资源知识库的安全预警系统设计涉及内容较多，既有人工智能技术、数据库技术，又有接口技术、设备检测技术等，是一个智能化的应用软件。实验证明，该系统可自动设置或定制用户自己计算机硬件和软件资源信息知识库，并能实现正确诊断和安全预警，对于经常与外部进行信息交换的个人计算机或担任重要任务的服务器等，可以有效降低安全风险，提高系统运行可靠性，克服了市场上一些通用安全软件对计算机自身资源，尤其是硬件安全保护的不足，具有更深的底层保护特色。然而，由于系统运行时需要定时进行信息检测，这样便造成了对计算机CPU和内存资源的耗费，有效改进信息检测手段、提高安全预警智能化水平，是软件系统进一步完善的目标。

［1］WANG Xiaozhen，ZHOU Zhenliu，LIU Baoxu.Design and implementation of BIOS sampling and analyzing system［J］.Computer Engineering，2011，37（11）：7－9（in Chinese）.［王晓箴，周振柳，刘宝旭.BIOS采样分析系统的设计与实现［J］.计算机工程，2011，37（11）：7－9.］

［2］LEI Jin’e，TIAN Wei，LI Peiwu.Architecture research and design based on FPGA for software protection［J］.Computer Engineering and Design，2009，30（7）：1580－1582（in Chinese）.［雷金娥，田伟，李沛武.基于FPGA的软件保护体系结构研究与设计［J］.计算机工程与设计，2009，30（7）：1580－1582.］

［3］HU Wei，MU Dejun，LIU Hang，et al.Design and implementation of hardware－encrypted mobile hard disk drive［J］.Computer Engineering and Applications，2010，46（22）：62－64（in Chinese）.［胡伟，慕德俊，刘航，等.移动硬盘硬件加密的设计与实现［J］.计算机工程与应用，2010，46（22）：62－64.］

［4］GAO Guozhu，WU Haiyan.Design and applying of web application security detecting system［J］.Computer Engineering and Design，2010，31（17）：3760－3762（in Chinese）.［高国柱，吴海燕.Web应用安全监测系统设计与应用［J］.计算机工程与设计，2010，31（17）：3760－3762.］

［5］YANG Fubao，WANG Jian.Embedded system and its application research in monitor system［J］.Manufacturing Automation，2011，33（12）：13－15（in Chinese）.［杨福宝，王建.嵌入式系统及其在监控系统中应用研究［J］.制造业自动化，2011，33（12）：13－15.］

［6］SUN Qiang.Network security management platform based on quantitative security risk assessment model［J］.Microelectronics ＆ Computer，2010，27（5）：70－73（in Chinese）.［孙强.基于定量安全风险评估模型的网络安全管理平台［J］.微电子学与计算机，2010，27（5）：70－73.］

［7］GONG Lei，ZHAO Yong.Research on architecture and implementation of application security supportive platform［J］.Computer Engineering and Design，2011，32（7）：2217－2220（in Chinese）.［龚雷，赵勇.应用安全支撑平台体系结构与实现机制研究［J］.计 算 机工程与 设 计，2011，32（7）：2217－2220.］

［8］LI Zhiwei.The transplant of database system applications based on ODBC［J］.Computer Engineering and Design，2009，30（12）：2985－2988（in Chinese）.［李志伟.基于 ODBC的数据库系统应用程序的移植［J］.计算机工程与设计，2009，30（12）：2985－2988.］

［9］HOU Baochen，DENG Feiqi.Embedded management system based on CIM［J］.Computer Engineering and Design，2011，32（6）：1957－1960（in Chinese）.［侯宝臣，邓飞其.基于CIM的嵌入式管理系统开发［J］.计算机工程与设计，2011，32（6）：1957－1960.］

［10］LAN Yong，ZHANG Bo.Rea1－time control of embedded device based on private IP address in interne［J］.Measurement ＆ Control Technology，2011，30（4）：67－69（in Chinese）.［兰勇，张博.私有IP地址环境中的嵌入式设备实时控制技术研究［J］.测控技术，2011，30（4）：67－69.］

［11］LI Zhiwei.Study on class based software reuse technology in VB environment［J］.Computer Engineering and Design，2010，31（5）：1152－1155（in Chinese）.［李志伟.VB环境下基于类的软件复用技术研究［J］.计算机工程与设计，2010，31（5）：1152－1155.］

［12］SUN Xiumei，GONG Jianhua.Visual Basic development of actual combat 1200cases［M］.Beijing：Tsinghua University Press，2011：946－948（in Chinese）.［孙秀梅，巩建华.Visual Basic开发实战1200例［M］.北京：清华大学出版社，2011：946－948.］

［13］SONG Guangjie，ZHANG Minghui，LI Jingjiao.Research of embedded network communications based on hardware encryption［J］.Application of Electronic Technique，2010，36（1）：148－150（in Chinese）.［宋光杰，张明慧，李晶皎.基于硬件加密的嵌入式网络通信的研究［J］.电子技术应用，2010，36（1）：148－150.］

［14］LIU Wei，HU Ping.File encryption system design based on file system filter driver［J］.Microelectronic and Computer，2009，26（4）：114－117（in Chinese）.［刘伟，胡平.基于文件系统过滤驱动的文件加密系统设计［J］.微电子学与计算机，2009，26（4）：114－117.］

［15］YU Huifang，WANG Caifen，WANG Zhicang，et al.Certificateless multi－proxy signcryption scheme［J］.Computer Engineering and Design，2010，31（5）：973－975（in Chinese）.［俞惠芳，王彩芬，王之仓，等.无证书的多代理签密方案［J］.计算机工程与设计，2010，31（5）：973－975.］