基于嵌入式LINUX系统的打印审计系统前端

维普资讯

Ｍｉｃｒｏｃｏｍｐｕｔｅｒ　Ａｐｐｌｉｃａｔｉｏｎｓ　Ｖｏ１．２２，Ｎｏ．７，２００６　

文章编号：１００７—７５７Ｘ（２００６）０６－－００３３－－０５　

开发应用　截型电脑应用　２００６年第２２卷第７期　

基于嵌入式ＬＩＮＵＸ系统的打印审计系统前端　

蒋聚肠，薛质　

摘　要：本文对打印审计系统的前端采集系统的实现目标进行了详细分析，并在此基础上，阐明了前端采集系统的实现原　

理。对打印审计系统的前端采集的硬件平台和系统构建所作了具体描述，对采用的主要技术ｂｒｉｄｇｅ、ｎｅｔｆｉｌｔｅｒ　ｎｅｔｌｉｎｋ等作了深　

入的分析，并对前端采集设备的配置界面作了初步的设计。　

关ｔ词：打印审计Ｉ嵌入式ＬＩＮＵＸ系统Ｉ前端采集　

中圈分类号：ＴＰ３１６，ＴＰＴＰ３３４　文献标识码：Ａ　

１引言　

随着信息系统的发展，在网络上的打印机的使用非常普　

遍，然而对打印机的管理除了物理管理以外，似乎没有其它的　

管理办法。而且随着安全需求的不断的提高，信息在网络系统　

内部是安全的，但是具有密级的信息在通过打印机打印时，可　

能导致信息泄漏的问题。　

在这种情况下，对网络上打印机的使用管理以及审计提　

出了要求。不仅要解决打印机谁可能使用和谁不可以使用的　

问题，还要能统一对内部的打印内容、打印机的使用状况进行　

审计，并且记录，当出现问题时能够及时进行追溯。针对以上　

的应用需求的打印审计系统，是重点解决上述中需求中的打　

印机审计问题，能对网络上打印机的使用进行审计并记录。打　

印审计系统甚至能为更高的安全级别提供应用接口，如支持　

ＣＡ证书等。　

生很大的影响，减少系统配置更改。系统要求有很高的可靠　

性：不容易被旁路Ｉ漏审率要低，在无法提供审计的情况下，停　

止打印机的使用或者通知管理员进行人工干预。分成两大部　

份：前端的采集系统和后端的后处理系统，即审计服务器系　

统。　

前端采集系统使用嵌入式系统技术是一个比较好的选　

择，采用嵌入式系统技术具有以下的几个优点：其一是嵌入式　

系统可以面向特定的应用，有利于将整个系统设计小型化，并　

能对系统进行合理配置Ｉ其二是嵌入式系统技术的软件固化　

在存储器中，采用嵌入式系统技术，其可靠性可以大大提高，　

没有硬盘的安全漏洞的问题，操作系统相对稳定。但是嵌入式　

系统技术开发周期相对较长，技术要求也比较高。　

前端采集系统与后端的审计服务器系统都通过网络进行　

连接，构成如图ｌ所示的系统：　

作为打印审计系统的前端采集系统，其主要功能就是采　

后■窜计整曩系统　

集客户端传输的打印数据流，并具有打印流量控制功能，同时　

将打印数据传输至后端处理系统。在无法连接后端处理系统　

时停止打印机的使用，并通知管理员人工干预。　

前端采集系统设备对内置操作系统的要求是：功能专一　

高效，高度节约资源，启动速度快。基于以上的技术要求，前端　

采集系统采用ＬＩＮＵＸ嵌入式系统。ＬＩＮＵＸ是一个优秀的操　

作系统，并且内核十分精炼，可以对不需要的功能进行裁减Ｉ　

在加上它的源代码都是开放的，支持多用户，多任务和动态度　

库，并有及强的网络功能，几乎支持所以的网络协议，包括　

ｔＣＰ／ＩＰ，ＰＰＰ和远程登录等等。所以当选择一个操作系统作为　

嵌入式系统核心的时候，ＬＩＮＵＸ是最好的选择。　

ｆ『■■Ｕ　

图１打印审计系统的工作示意图　

由上图可知基于嵌入式ＬＩＮＵＸ系统的前端采集系统采　

用串接采集，即直接将其串接在网络打印机前，是串接在网络　

设备与打印设备之间的设备，这是由于网络打印审计系统具　

有审计应用单一、打印机分布分散（通常不会连接在同一网络　

设备上）和流量不会非常庞大等特点。　

２打印审计的前蛾采集技术分析　

打印审计前端采集系统的实施应对现有系统的使用不产　

采用串接采集的前端系统成本可以相对较低，而且不依　

作者筒介：蒋聚　上海交通大学信息安全学院，硕士研究生，上海　

薛质，上海交通大学信息安全学院，副教授，上海　

‘　

・３３・　

维普资讯

Ｍｉｃｒｏｃｏｍｐｕｔｅｒ　Ａｐｐｌｉｃａｔｉｏｎｓ　Ｖｏｉ．２２，Ｎｏ．７，２００６　开发应用　微型电脑应用　２００６年第２２卷第７期　

赖于网络设备，不需要改变网络设备的配置。串接审计系统不　

高可靠的专用硬件平台，采用专用的机箱，占用更小的配线架　

空间，并具有高可靠性，适合７Ｘ２４小时持续工作。前端采集系　

统设备应具有有自升级功能，用户可以通过网络方便地升级　

容易旁路，而且设备透明，不影响原有设备，可以提供最多的　

手段进行控制，漏检率低，可以支持流量控制。当无法连接到　

审计服务器时，可以中断打印机的使用。但是，串接审计系统　

同样会有缺点，那即串接审计设备有可能会成为打印系统瓶　

颈，审计设备的失效会影响到应用。　

整个系统。前端采集系统设备的配置应该十分简单，并能完全　

基于ＷＥＢ界面，通过网络进行，无需繁琐的串行口配置。整个　

系统的配置可以在ＷＥＢ帮助下单独完成。一台前端数据采集　

设备可以对多台网络打印机进行审计和控制。　

前端采集系统的ＬＩＮＵＸ嵌入式系统设计成可以针对不　

同用户和不同的时间段采取不同的策略；可以对打印源的身　

我们可以简单的将网络打印审计系统的过程描述成：对　

打印的传输流进行捕捉；传输和传输协议分析；打印文件的存　

储和恢复；打印格式的识别和打印审计。　

份进行认证；从打印源的数据包中分析出ＩＰ地址和ＭＡＣ地　

这些工作是分布在前端采集系统以及后端后处理系统共　

址，从而进行用户跟踪和防止网络用户的欺骗。　

３．１系统架构　

同完成的，在前端采集系统完成的部分称为预处理部分，后端　

审计处理的部分称为后处理部分。在自端采集设备与后端审　

计设备之间如何进行工作分割是很重要的。如何对预处理部　

分与后处理部分进行分配将直接导致可靠性以及成本问题。　

如果将存储放在前端采集系统中会存在问题，首先是可　

靠性问题，因为硬盘属于易损部件，如果前端设备中带有硬　

盘，由于硬盘的抗震能力较差，因此比较容易损坏，直接导致　

系统的不可用；其次是前端采集系统与后端系统的数据同步　

问题；最为严重的问题是安全问题，在前端的采集系统的硬盘　

中会存有打印的文件，如果前端采集系统或者是前端系统的　

硬盘丢失，直接会造成失泄密，而且目前端采集系统具有多　

台，分散在各个地方，管理很困难。因此如果前端系统具有硬　

盘存储功能，设备不仅会因为硬盘的失效无法工作，最重要的　

是其会存有重要的打印信息而导致安全漏洞。　

如果前端采集系统中中没有存储，那预处理部分就可以　

比较简单，那么前端采集设备就可以使用较低档次的处理器，　

成本较低，而且由于处理的工作简单，那么软件可靠性就会高　

很多；而后端设备通常需要采用服务器设备或者高性能微机　

设备，因此其处理能力较高，可以完成很多复杂的工作。　

因此，对打印审计系统的预处理与后处理的目标是将预　

图２　系统架构框图　

涉密网打印审计系统的前端采集设备的嵌入式ＬＩＮＵＸ　

系统由内核空间（ｋｅｒｎｅｌｓｐａｃｅ）和用户空间（ｕｓｅｒｓｐａｃｅ）组成，　

内核空间（ｋｅｒｎｅｌｓｐａｃｅ）实现系统功能的最主要构件是下文介　

绍的ｂｒｉｄｇｅ和ｎｅｔｆｉｌｔｅｒ。需要注意的是Ｌｉｎｕｘ　２．４．１８对ｎｅｔｆｉｌｔｅｒ　

支持，是必须打ｂｒｉｄｇｅ－－ｎｆ的ｐａｔｃｈ，并将所有的ｎｅｔｉｆｌｔｅｒ的特　

性都编译成模块。系统架构见图２所示。　

与内核空间（ｋｅｒｎｅｌｓｐａｃｅ）实现系统功能的主要构件　

ｂｒｉｄｇｅ和ｎｅｔｆｉｌｔｅｒ相对应，在用户空间（ｕｓｅｒｓｐａｃｅ）提供了控制　

处理功能尽可能简单，把大量的工作都应该放到后处理去做，　

这样也可以降低前端采集设备的成本，提高可靠性。　

３打印审计前端采集系统的设计　

网络打印审计系统最基本的工作是捕捉、收集、存储、简　

单查询。在上节的实现分析中，我们得出可以结论：在前端采　

集系统中应采用嵌入式系统技术，并不配置硬盘来储存打印　

信息，仅仅对打印的传输流进行捕捉并传输到后端审计服务　

器上，这样也可以降低前端采集设备的成本，提高可靠性。　

前端数据采集设备采取串行的接入方式，就是网络用户　

只能通过审计系统的前端采集系统来访问网络打印机，从而　

ｂｒｉｄｇｅ用户空间的工具ｂｒｃｔｌ和ｎｅｔｆｉｌｔｅｒ在用户空间的工具　

ｉｐｔａｂｌｅｓ。用户空间的工具ＤｕｐＡｇｅｎｔ将特定的数据流从　

ｎｅｔｌｉｎｋ中获得经简单处理后发送到内核空间（ｋｅｒｎｅｌｓｐａｃｅ）。　

ｎｅｔｆｉｌｔｅｒ框架可以通过ｎｅｔｌｉｎｋ与用户空问的ＤｕｐＡｇｅｎｔ　

进行通信，但是ｎｅｔｌｉｎｋ是通过ｓｏｃｋｅｔ方式在内部进行通信的，　

涉及到几次的包复制的过程，效率比较的低。因此，采用内核　

与用户空间通过内存映射进行通信的方式，将包复制的次数　

减少到最小。内核与用户空间进行内存映射，是通过ｄｅｖｉｃｅ的　

ｍａｐ函数实现的。　

由于设备没有界面Ｈａｒｄｗａｒｅ　Ｃｏｎｔｒｏｌ模块部分负责入机　

交互的部分的处理。　

具有不容易旁路，漏检率低，不依赖现有的网络设备，可以直　

接对打印机进行简单的控制。　

前端采集系统设备应是一个固态化的硬件产品，应基于　

・３４・　

Ｍａｉｎ　Ｐｒｏｃｅｓｓ为主控程序，负责统筹所有其它程序的运　

维普资讯

Ｍｉｃｒｏｃｏｍｐｕｔｅｒ　Ａｐ￣ｉｃａｔｉｏｎｓ　Ｖｏ１．２２，Ｎｏ．７，２００６　开发应用　截型电脑应用　２００６年第２２卷第７期　

行。ＷＥＢ／ＣＧＩ是负责配　

置的界面部分，提供ＳＳＬ以及身份控制功能。　

３．２主要技术　

３．２．１硬件层网桥　

子（ＨＯＯＫ），用一个ｓｔｒｕｃｔ　ｌｉｓｔ—ｈｅａｄ　ｎｆ－ｈｏｏｋｓ［ＮＰＲＯＵＴＯ］　

［ＮＦ—ＭＡｘ—Ｈ００Ｋｓ］二维数组结构存储，一维为协议族，　

二维为上面提到的各个调用入口。每个希望嵌入ｎｅｔｆｉｌｔｅｒ／ｉｐｔ—　

ａｂｌｅｓ中的模块都可以为多个协议族的多个调用点注册多个　

钩子函数（Ｈ００Ｋ），这些钩子函数将形成一条函数指针链。每　

次协议栈代码执行到ＮＦ－－ＨＯＯＫＯ函数时（有多个时机），都　

会依次启动所有这些函数，处理参数所指定的协议栈内容。　

链路层　

ＬＩＮＵＸ　ｋｅｒｎｅｌ　２．４．１８带有对ｅｔｈｅｒｎｅｔ　ｂｒｉｄｇｅ的支持，并　

支持生成树协议等高级应用。加入网桥的物理端口将不分配　

ＩＰ地址，只有网桥虚拟端口可以分配ＩＰ地址。虚拟端口可以　

完全当作一个普通端口来使用，并且支持Ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ的　

各种应用和路由。ｂｒｉｄｇｅ的作用就是让前端采集系统两块网　

卡变成一个桥设备，让两端的网络端完全透明地转发ｐａｃｋｅｔｓ，　

而让Ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ起到支持二层网络包过滤、转发等等高　

级应用。　

在设计中采用ＬＩＮＵＸ　ｂｒｉｄｇｅ－－ＳＴＰ网桥技术对两块网　

卡进行透明处理，这样采用ＬＩＮＵＸ嵌入式系统前端数据采集　

设备就以透明的方式接入网络，将其连接在网络打印机和网　

络之问，在链路层实现包转发，速率可达到４０Ｍｂｐｓ。网桥的特　

点就是工作在数据链路层，对协议的透明度比较高，而且转发　

效率也高。在数据链路层截取ＭＡＣ层的数据包，并对数据包　

进行分析。在同一网络中的其它计算机无法ｐｉｎｇ这台设备，除　

了指定的计算机外无法对这台设备进行配置（若没任们配置　

主机，任何机器都可以进行配置，一旦配置成功，只有这台机　

器可以再配置）。所谓透明就是用户不需要对内部了解更多，　

只要简单配置就可以。　

传输层　

图３　ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ框架　

可见ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ的一个重要优点是可以完全控制　

信息包过滤。可以定制的规则来满足需求，从而只允许想要的　

网络流量进入系统。将前端采集设备的嵌入式ＬＩＮＵＸ系统中　

采用ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ模块，可以获取被跟踪的ＩＰ地址的特定　

协议／端口的通信，并只允许管理主机的ＩＰ地址或者网段连　

接设备的ＩＰ地址的特定协议／端口的通信，并只允许管理主　

机的ＩＰ地址或者网段连设备的ＷＥＢ配置，并实现将所跟踪的　

连接打印数据包同事转发送到审计服务器的功能。　

通过使用用户空间工具ｉｐｔａｂｌｅｓ，前端采集系统可以构建　

将前端采集设备设计成ｂｒｉｄｇｅ方式，可以避免对原有系　

统设备的设置的殳改。并能满足前端采集系统对打印的传输　

流进行捕捉、阻止和转发打印审计服务器的打印数据包的功　

能。　

３．２．２网络过滤功能的买现　

位于ＬＩＮｕｘ系统硬件层的网桥功能并不能实现网络包的　

过滤功能。当网卡收到一个报文时，而ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ是与　

最新的２．４版本以上ＬＩＮＵＸ内核集成的ＩＰ信息包过滤系统。　

在ＬＩＮＵＸ系统连接到ＬＡＮ、服务器的时候ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ　

的定制规则，这些规则存储在内核空间的信息包过滤表中。这　

些规则具有目标，每个注册的钩子函数经过处理后都将有返　

回值之，告知ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ核心代码处理结果，以便对报　

文采取相应的动作。　

通过ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ，可以将信息包的头信息与它所传　

递到的钩子函数中的每条规则进行比较，看它是否与某条规　

则完全匹配。如果信息包与某条规则匹配，那么内核就对该信　

息包执行由该规则的目标指定的操作。但是，如果信息包与这　

条规则不匹配，那么它将与链中的下一条规则进行比较。最　

后，如果信息包与链中的任何规则都不匹配，那么内核将参考　

该钩子函数的策略来决定如何处理该信息包。　

在网络的打印审计系统的前端采集中中利用ｎｅｔｉｆｌｔｅｒ／　

ｉｐｔａｂｌｅｓ过滤可以达到三个主要的目的：其一是能够获取被跟　

踪的ＩＰ地址的特定协议及端口的通信；其二是保护前端采集　

设备自身；最后是可以限制使用打印机的网段，并能将打印审　

计系统设置为与网络打印机不同的网段，以达到实现方便管　

系统有利于在Ｌｉｎｕｘ系统上更好地控制ＩＰ信息包过滤等。　

ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ是嵌入内核ｉｐ协议栈的一系列调用入　

口，设；置在报文处理的路径上。网络报文按照来源和去向，可　

以分为三类：流入的、流经的和流出的’其中流入和流经的报　

文需要经过路由才能区分，而流经和流出的报文则需要经过　

投递，此外，流经的报文还有一个ＦＯＲＷＡＲＤ的过程，即从一　

个ＮＩｅ转到个ＮＩｃ。ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ就是根据网络报文的流　

向，在以下几个点插入处理过程，如图３所示：　

ＮＦ—ＩＰ—ＰＲＥ—ＲＯＵＴＩＮＧ，在报文作路由以前执行；　

ＮＦ－－ＩＰ－－ＦＯＲＷＡＲＤ，在报文转向另一个ＮＩＣ以前执行；ＮＦ　

—

ＩＰ—Ｐ０ＳＴ—ＲＯＵＴＩＮＧ，在报文流出以前执行；ＮＦ—ＩＰ—　

ＬｏＣＡＬ—ＩＮ，在流入本地的报文作路由以后执行；ＮＦ—ＩＰ—　

Ｌ０ＣＡＬ一０ＵＴ，在本地报文做流出路由前执行。　

ｎｅｔｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ框架为多种协议提供了一套类似的钩　

・３５・　

维普资讯

Ｍｉｃｒｏｃｏｍｐｕｔｅｒ　Ａｐｐｌｉｃａｔｉｏｎｓ　Ｖｏ１．２２，Ｎｏ．７，２００６　开发应用　截型电脑应用　２００６年第２２卷第７期　

理和增加打印审计系统的安全性的目的。　

利用ｎｅｆｆｉｌｔｅｒ／ｉｐｔａｂｌｅｓ的钩子函数ＮＦ—ＩＰ—ＰＲＥ—Ｒ０　

中的，从用户空间是不可见的，而且ｖｍａｌｌｏｃ需要对内核虚拟　

地址进行重影射，必须更新内核页表。设计如下所示：　

３．２．４安全套接层协议　

［ＪＴＩＮＧ获取被跟踪的ＩＰ地址特定协议／端口的通信，并利用　

钩子函数ＮＦ—Ｆ０ＲｗＡＲＤ允许指定的网段地址通过，同时　

利用钩子函数ＮＦ—ＩＰ—Ｐ０ＳＴ—Ｒ０ＩＪＴＩＮＧ的ｉｐ－－ｃｏｎｔａｃｋ模　

块跟踪连接的状态，并利用ｉｐ－－ｑｕｅｕｅ模块将所跟踪连接的在　

共享内存数据通过ｍａｐｐｅｄｍｅｍｏｒｙ方式发送到用户空间的　

ＴＣＰ／ＩＰ是英特网上基本的传输协议。但协议本身并不　

为安全设计，所以是十分不安全的。在实际传输中，数据并不　

是从一台主机传送到另外一台主机的，而是在整个网上进行　

广播的，所以，即使用户正常登录系统，许多信息也会被网络　

上的另一个用户捕捉和破译。而要通过编码加密对网络上的　

交互信息来防止这种情况的发生并非轻而易举。　

在网络的打印审计系统中，因为前端采集系统设置成　

ｗＥＢ　ＳＥＲＶＥＲ，允许：用户上载／ＧＧＩ脚本或在上运行配置和　

程序时，安全性就受到了很大的威胁。为防止登录信息及配置　

被网络上的另一个用户捕捉和破译，就要通过编码加密对网　

ＤｕｐＡｇｅｎｔ进程中。如果ｉｐ—ｑｕｅｕｅ模块队列溢出，则将后续　

包。ＤＲＯＰ掉，否则ＡＣＣＥＰＴ。如果长时间不能够将审计打印　

数据发送出去，则发出设备警报，用人工干预。设备继续不断　

进行尝试，连接审计服务器。　

３．２．３　内核／用户空间内存映射技术　

ＬＩＮＵｘ传统的进程间通信有很多，在本系统中需要使用　

到内存共享和套接字等。但它们都无法介于内核态与用户态　

使用，内存共享无法介于内核念与用户态使用的原因是需要　

信号量辅助，而信号量又无法使用；套接字无法使用是由于在　

硬、软中断中无法无阻塞地接收数据。　

为了达到中断过程实时地接收来自用户空间白Ｊ的数据，　

涉密网的扣‘印审计系统采用ｎｅｔｌｉｎｋ套接字的通信。当使用　

ｎｅｔｌｉｎｋ套接字进行通信，通信的双方都足用户态进程，则使　

用方法类似于消息队列。但通信双方有一端是中断过程，使用　

方法则不同。ｎｅｔｌｉｎｋ套接字的最大特点是对中断过程的支　

持，它在内核空间接收用户空间数据时不再需要用户自行启　

络上的交互信息来防止这种情况。ＳＳＬ是Ｓｅｃｕｒｅ　Ｓｏｃｋｅｔ　Ｌａｙｅｔ　

・

（安全套接层协议）的缩写，可以在Ｉｎｔｅｒｎｅｔ上提供进行安全　

通信的标准，是支持在Ｉｎｔｅｒｎｅｔ上将数据密码术集成到了协议　

之中。数据在离开的计算机之前就已经被加密，然后只有到达　

它预定的目标后才被解密，其目标就是保证两个应用问通信　

的保密性和可靠性，在服务器端和用户端同时实现支持。证书　

和密码学算法支持了这一切的运转。ＳＳＬ协议采用公开密钥　

技术，已成为Ｉｎｔｅｒｎｅｔ上保密通讯工业标准。设计ＳＳＬ是为了　

利用ＴＣＰ提供端对端的安全传输，其优势在于它是与应用层　

协议独立无关的。　

在ＬＩＮＵＸ中主要使用ＯｐｅｎＳＳＨ进行安全通讯的程序设　

计，ＯｐｅｎＳＳＨ是被开发和维护的ＯｐｅｎＢＳＤ计划的一部分，包　

括两种链接库ＯｐｅｎＳＳｌ。和ｚｌｊｂ。　

动一个内核线程，而是通过另一个软中断调用用户事先指定　

的接收函数。同时还使用ｎｅｔｌｉｎｋ实现了ｉｐ　ｑｕｅｕｅ工具。很明　

显，这里用了软中断而不是内核线程来接收数据，这样就可以　

保证数据接收的实时性。当ｎｅｔｌｉｎｋ套接字用于内核空间与用　

户空间的通信时，在用户空间的创建方法和一般套接字使用　

类似，但内核空间的创建方法则不同。内部ｈｏｏｋ到ｎｅｔｉｆｌｔｅｒ的　

ｑｕｅｕｅ　ｈａｎｄｌｅｒ的函数就将接收到的ｓｋｂ中的ｐａｃｋｅｔ复制到该　

共享内存，而用户空间的程序就可以直接读取，将该ｐａｃｋｅｔ发　

送出去。　

４总结　

网络打印审计系统的前端采集系统宜采用串接审计的方　

式，系统结构宜采用嵌入式系统技术。前端采集客户端传输的　

打印数据流，后端后处理系统对打印流的数据进行识别，同时　

在打印审计系统设计中，可以采用ｎｅｔｌｉｎｋ套接字实现从　

ｎｅｔｆｉｌｔｅｒ的ＮＦ—ＩＰ—Ｆ０ＲｗＡＲＤ点截获的ＴＣＰ打印数据包。　

模块加载阶段在内核空间创建一个ｎｅｔｌｉｎｋ套接字，再将一个　

函数挂接在ｎｅｔｉｆｌｔｅｒ框架的ＮＦ—ＩＰ—Ｆ０ＲｗＡＲＤ钩子点上。　

对数据进行可靠存储，以便于查询。　

打印审计系统的前端采集设备选用了ＬＩＮＵＸ嵌入式系　

统技术。并利用ＬＩＮＵＸ内核中的ｂｒｉｄｇｅ和ｎｅｔｆｉｌｔｅｒ组件来实　

现透明桥接和包转发和包过滤的功能，在预处理阶段对打印　

卸载时释放套接字所占的资源并注销之前在ｎｅｔｉｆｌｔｅｒ上挂接　

的函数。　

的传输流进行捕捉。利用ＬＩＮＵＸ内核中的ｎｅｔｌｉｎｋ组件来实现　

内核／用户空间内存映射技术。同时设计为可以基于ＷＥＢ　

ＳＥＲＶＥＲ进行配置，当采用ＷＥＢ　ＳＥＲＶＥＲ进行配置时，采用　

内核与用户空间的进行内存映射，是通过ｄｅｖｉｃｅ的ｍｍａｐ　

函数实现的，ｍｍａｐ是ｆｉｌｅ－－ｏｐｅｒａｔｉｏｎｓ的一个函数，通过ｒｅｇｉｓ—　

ＳＳＬ提供安全的连接。　

ｔｅｒ一一ｃｈｒｄｅｖ（）函数进行注册，可以将内核分配的内存映射　

到用户空间，显著提高了吞吐率。用户空间的程序可以通过　

ｏｐｅｎ该设备，并ｍｍａｐ该设备的内存就可以将此内存映射到　

用户空间。其中ｂｕｆＤｔＩ．是通过ｋｍａｌｌｏｃ进行分配的内核内存，　

ｋｍａｌｌｏｃ最大可以分配１２８Ｋ内存。注意不可以使用ｖｍａｌｌｏｃ分　

配的内存，因为被ｖｍａｌｌｏｃ分配的内存是被映射入内核数据段　

［１］Ａｎｄｒｅｗ　Ｓ．Ｔａｎｅｂａｕｍ．Ｃｏｍｐｕｔｅｒ　Ｎｅｔｗｏｒｋｓ（Ｔｈｉｒｄ　

Ｅｄｉｔｉｏｎ）Ｉ－Ｍ］．北京：清华大学出版社，１９９７　

［２］Ｋｒｕｔｚ，Ｒ．Ｌ．Ｖｉｎｅｓ，Ｒ．Ｄ．信息安全基础Ｉ－Ｍ］．机械工业出　

参考文献：　

・３６・　

维普资讯

Ｍｉｃｒｏｃｏｍｐｕｔｅｒ　Ａｐｐｌｉｃａｔｉｏｎｓ　Ｖｏ１．２２，Ｎｏ．７，２００６　

版社，２００５（Ｔｐ３０９　ｃｉｐ２００４：１１２４５３）　

开发应用　微型电Ｊ．－应用　２００６年第２２卷第７期　

［６］Ｄｏｕｇｌａｓ　Ｅ，Ｃｏｍｅｒ．ＴＣＰ／ＩＰ网络互联技术［Ｍ］．清华大学　

出版社２ＯＯ４（①ＴＮ９１５．０４②ＴＰ３９３．０９ＣＩＰ２００４；１１２４５３）　

［７］Ａｌｅｓｓａｎｄｒｏ　Ｒｕｂｉｎｉ，ＬＩＮＵＸ设备驱动程序［Ｍ］．中国电力　

出版社（ＴＰ３１６　ＣＩＰ１９９９：７５０３４）　

［３］中国信息安全产品测评中心．信息安全理论及技术［Ｍ］．　

人民邮电出版社，２００３　

［４］Ｓａｒｗａｒ．Ｓ．Ｍ．Ｋｏｒｅｔｓｋｙ．Ｒ．Ｓａｒｗａｒ．Ｓ．Ａ．ＬＩＮＵＸ教程　

［Ｍ］．清华大学出版社２００５（ＴＰ３１６．８９　ＣＩＰ２ＯＯ５：０２８７８０）　

［５］韩存生．构建嵌入式ＬＩＮＵＸ系统［Ｍ］．中国电力出版社　

（ＴＰ３１６．８９　ＣＩＰ２００４：１１２４５３）　

［８］ＨＰ．ＰＣＬ５　Ｐｒｉｎｔｅｒ　Ｌａｎｇｕｅｇｅ　Ｔｅｃｈｎｉｃａｌ　Ｒｅｆｅｒｅｎｃｅ　Ｍａｎｕａｌ　

［Ｚ］２００３　

（收稿日期；２００６—４—１）　

（上接第６页）　

如果需要法律介入，则不要接近它，因为在受攻击机器上　

的操作可能会破坏现场证据，为后面的计算机司法鉴定取证　

工作带来麻烦。　

必须拥有管理员权限，即安装Ｗｉｎｄｏｗｓ　ＲｏｏｔＫｉｔ的前提是系　

统被攻破。为此必须强化系统安全，确保所有操作系统和应用　

软件是最新的，及时安装所有补丁、紧急修复以及升级程序；　

禁止不需要的服务，不使用某个应用程序或网络服务就不要　

运行它，不必要服务和不合适软件的运行会产生不必要的风　

险；服务器配置时选择安全配置方案，有时操作方便会带来安　

全风险；必要时可以选用安全评估和漏洞扫描软件对系统进　

行全面的安全审计，通过审计结果有针对性地加强系统安全。　

除了基本地加强系统安全，还可考虑安装基于主机的入　

侵防御系统（ＨＩＰＳ）工具，它被认为是当前能预防ＲｏｏｔＫｉｔ的　

最好的方法，ＨＩＰＳ能够观察并阻止与闯入系统有关的可疑行　

为，这些可疑行为包括缓冲区溢出式攻击、可疑的系统服务调　

用、非法的注册表设置等。　

２）检测。预防是关键，但有时预防并不能万无一失，所以　

同时要加强Ｗｉｎｄｏｗｓ系统的ＲｏｏｔＫｉｔ检测能力。上面已讨论　

了检测技术，检测方法包括实时在线检测和由用户启动扫描　

检测。文件完整性检测是检测用户模式ＲｏｏｔＫｉｔ的最好方法之　

一

５结束语　

Ｗｉｎｄｏｗｓ　ＲｏｏｔＫｉｔ出现的时间较晚，正处于快速发展阶　

段，Ｗｉｎｄｏｗｓ　ＲｏｏｔＫｉｔ技术和Ａｎｔｉ－－ＲｏｏｔＫｉｔ技术正在拉锯式　

发展。随着对Ｗｉｎｄｏｗｓ操作系统内核机制的挖掘和认识的进　

一

步加深，会有更新更先进的Ｗｉｎｄｏｗｓ　ＲｏｏｔＫｉｔ技术和Ａｎｔｉ　

ＲｏｏｔＫｉｔ技术的出现。为了更好地防御Ｗｉｎｄｏｗｓ　ＲｏｏｔＫｉｔ和　

－

降低由此带来的破坏和影响，需要制定一套完整又合理的防　

御策略。Ｗｉｎｄｏｗｓ　ＲｏｏｔＫｉｔ技术另一面是广泛应用于反病毒　

软件、防火墙、主机入侵防御软件等安全软件，它们为网络和　

系统带来安全。　

参考文献：　

，

主要根据已知有效文件和设置的加密散列，查找关键文件　

的变化。现在许多反病毒程序也能检测到ＲｏｏｔＫｉｔ，它们主要　

针对Ｗｉｎｄｏｗｓ中各种ＲｏｏｔＫｉｔ的特征码，及时更新病毒库可　

以有效检测ＲｏｏｔＫｉｔ。还可以选择安装一种或几种可靠最新版　

［１］Ｅｄ　Ｓｋｏｕｄｉｓ，Ｌｅｎｎｙ　Ｚｅｌｔｅｒ．Ｍａｌｗａｒｅ：Ｆｉｇｈｔｉｎｇ　Ｍａｌｉｃｉｏｕｓ　

ｏｄｅ［Ｍ］．ＰｒｅｎｔＣｉｃｅ　Ｈａｌ１．２００３．１１　

［２］Ｇｒｅｇ　Ｈｏｇｌｕｎｄ．ＲＯＯＴＫＩＴ［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｗｗｗ．　

ｒｏｏｔｋｉｔ．ＣＯｌ　

本的Ａｎｔｉ－ＲｏｏｔＫｉｔ软件，每间隔一段时间对系统进行完整彻　

底的扫描可以及早发现ＲｏｏｔＫｉｔ。　

３）应对处理。如果已经检测到Ｗｉｎｄｏｗｓ系统被攻击者安　

［３］Ｊａｎ　Ｋ　Ｒｕｔｋｏｗｓｋｉ．Ａｄｖａｎｃｅｄ　Ｗｉｎｄｏｗｓ　２０００　Ｒｏｏｔｋｉｔ　Ｄｅ—　

ｔｅｃｔｉｏｎ［Ｒ］．Ｂｌａｃｋ　Ｈａｔ　Ｂｒｉｅｆｉｎｇｓ，Ｌａｓ　Ｖｅｇａｓ　ｈｔｔｐ：／／　

ｗｗｗ．ｂｌａｃｋｈａｔ．ｃｏｍ／ｐｒｅｓｅｎｔａｔｉｏｎｓ／ｂｈ—ｕｓａ一０３／ｂｈ—ＵＳ　

一

装了ＲｏｏｔＫｉｔ，这是一件相当严重的安全事件，处理办法依赖　

于公司或组织预定的信息安全策略。但无论信息安全策略如　

何，该Ｗｉｎｄｏｗｓ操作系统将不可信。恢复系统之前必须查明系　

统被攻破的原因，这有利于以后有针对地加强系统和网络安　

全。恢复系统最好的方式是重新安装操作系统，重新加固操作　

０３一ｒｕｔｋｏｗｓｋｉ／ｂｈ—ＵＳ一０３一ｒｕｔｋｏｗｓｋｉ—ｐａｐｅｒ．ｐｄｆ　

Ｊｕｌｙ　２００３　

［４］ｓｈｅｒｒｉ　ｓｐａｒｋｓ，Ｊａｍｉｅ　Ｂｕｔｌｅｒ．Ｒａｉｓｉｎｇ　Ｔｈｅ　Ｂａｒ　Ｆｏｒ　Ｗｉｎｄｏｗｓ　

Ｒｏｏｔｋｉｔ　Ｄｅｔｅｃｔｉｏｎ［Ｊ／ＯＬ］．Ｖｏｌｕｍｅ　ＯｘＯｂ，Ｉｓｓｕｅ　０ｘ３ｄ　

ｈｔｔｐ：／／ｗ￣ｗ．ｐｈｒａｃｋ．ｏｒｇ／ｓｈｏｗ．ｐｈｐ？ｐ一６３￣ａ＝８．２００５．　

０８　

系统和安装防护软件。如果攻击者修改了操作系统内的一部　

分，那么用户无法知道是否修改了其它组件。在处理发现已被　

攻击系统的同时，严格检查附近机器系统，发现问题也作同样　

处理。原有系统中的秘密信息（如帐号／密码）也需要改变，因　

为可能已被攻击者盗取或网络嗅取。恢复系统后，要加强对网　

络和系统的防护和监控，攻击者可能会再次返回犯罪现场，试　

图再次进入系统。　

［５］［芙］Ｊｅｆｆｒｅｙ　Ｒｉｃｈｔｅｒ．Ｗｉｎｄｏｗｓ棱心嫡程［Ｍ］．机械工业出　

版社２０００．５　

（收稿日期：２００６—１—６）　

・３７・