(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211061051.6 (22)申请日 2022.08.31 (65)同一申请的已公布的文献号 申请公布号 CN 115129494 A (43)申请公布日 2022.09.30 (73)专利权人 浙江工业大 学 地址 310014 浙江省杭州市下城区潮王路 18号 (72)发明人 陈铁明　仇学博　宋琪杰　朱添田　 吕明琪　路晓明　 (74)专利代理 机构 杭州求是专利事务所有限公 司 33200 专利代理师 陈升华 (51)Int.Cl. G06F 9/54(2006.01)G06F 9/50(2006.01) G06F 9/448(2018.01) G06F 16/9035(2019.01) G06F 40/30(2020.01) 审查员 牛洪波 (54)发明名称 一种基于Windows内核的事件日志采集方法 及系统 (57)摘要 本发明公开了一种基于Windows内核的事件 日志采集方法及系统， 采集方法包括： 初始化； 对 ETW框架进行基础的配置， 获取Window s原生事件 信息作为原始事件流， 对原始事件流做初步的事 件过滤， 得到有效原始事件流； 对有效原始事件 流进行事件解析、 事件 过滤以及语义修正的多线 程并发处理， 得到修正语义的事件对象实例； 将 修正语义的事件对象实例进行事件输出， 完成采 集。 本发明利用自定义过滤机制和自研的基于属 性偏移量的事件解析方法， 并结合多线程并发技 术对事件内容进行解析、 语义填充、 语义修正等， 实现了Windows内核事件的高效解析与处理， 在 保证实时性的同时还保证事 件日志完整性。 权利要求书2页 说明书8页 附图5页 CN 115129494 B 2022.11.25 CN 115129494 B 1.一种基于W indows内核的事 件日志采集方法， 包括以下步骤： 1） 初始化； 2） 对ETW框架进行基础的配置， 获取W indows原生事 件信息； 3） 将Windows原生事件信息作 为原始事件流， 对原始事件流做初步的事件过滤， 得到有 效原始事件流； 4） 对有效原始事件流进行事件解析、 事件过滤以及语义修正的多线程并发处理， 得到 修正语义的事 件对象实例； 对有效原 始事件流进行事 件解析具体包括： 4.1.1） 采用初始化的事件结构文件， 对有效原始事件流进行属性数据提取， 得到事件 属性流； 4.1.2） 从有效原始事件流中提取出事件标识符对象， 根据事件标识符对象从事件结构 文件的事件结构映射表中获取对应的属性偏移 量的集合， 遍历属性偏移 量的集合来解析事 件属性流； 4.1.3） 循环遍历完成后， 得到事 件对象实例； 事件过滤具体包括： 4.2.1） 根据事件对象实例获取最新的进程号， 如果存在于过滤配置文件的过滤进程的 集合中， 则对 事件对象实例过 滤， 如果不存在， 则进入步骤4.2.2） ； 4.2.2） 提取事件对象实例的事件标识符对象， 如果是Image类事件， 通过在过滤配置文 件的模块路径白名单， 只监听用户需要的模块加载信息以及函数调用信息， 同时针对过滤 配置文件的黑名单中的模块路径对事件对 象实例做进一步过滤， 得到有效事件对 象实例， 如果不是Image类事件， 则传递有效事 件对象实例； 语义修正具体包括： 对有效事件对象实例的各个对象依次做语义填充与修正， 所述的 各个对象依次包括： File对象、 Process对象、 Callstack对象、 Image  对象、 SystemCall对 象； 5） 将修正语义的事 件对象实例进行事 件输出， 完成采集。 2.根据权利要求1所述的基于Windows内核的事件日志采集方法， 其特征在于， 步骤1） 中， 初始化具体包括： 读取事件结构文件对事件结构初始化， 读取过滤配置文件对过滤信息初始化， 读取初 始化模块文件对模块信息初始化， 通过初始化线程池， 进行动态地调整并发处理事件解析 任务。 3.根据权利要求2所述的基于Windows内核的事件日志采集方法， 其特征在于， 步骤1） 中， 所述的事件结构文件包括： 对应事件的服务供应商标识符和操作码字段以及对应事件 包含的各属性 值在事件流中的偏移量与属性大小； 所述的过滤配置文件包括进程号黑名单集合、 进程号 白名单集合、 由事件类型标识符 组成的黑名单集 合以及由模块路径组成的黑名单集 合； 所述的初始化模块文件定义在采集器启动时加载的模块路径， 解析加载完的模块信 息 以及提取 出模块下的函数信息 。 4.根据权利要求1所述的基于Windows内核的事件日志采集方法， 其特征在于， 步骤3） 中， 对原始事件流做初步的事 件过滤， 具体包括：权　利　要　求　书 1/2 页 2 CN 115129494 B 23.1） 解析原始事件流的进程号信息， 提取进程号并通过查找进程号是否存在于过滤配 置文件的黑名单进程 集合中来对 事件做一次过 滤； 3.2） 通过解析原始事件流的服务提供者标识符与操作码字段来构造一个事件标识符 对象， 然后在过滤配置文件的事件类型标识符黑名单中查找对应的对象来对事件做一次过 滤。权　利　要　求　书 2/2 页 3 CN 115129494 B 3