周 鐵，段明秀

(吉首大學(xué)信息科學(xué)與工程學(xué)院，湖南 吉首 416000)

面向內(nèi)網(wǎng)用戶(hù)的網(wǎng)絡(luò)內(nèi)容監(jiān)控系統(tǒng)設(shè)計(jì)*

周 鐵，段明秀

(吉首大學(xué)信息科學(xué)與工程學(xué)院，湖南 吉首 416000)

針對(duì)內(nèi)網(wǎng)用戶(hù)在局域網(wǎng)中的安全威脅，設(shè)計(jì)了一種針對(duì)網(wǎng)絡(luò)內(nèi)容的監(jiān)控系統(tǒng)，隨后詳細(xì)描述了系統(tǒng)的總體設(shè)計(jì)和系統(tǒng)關(guān)鍵部分(監(jiān)管代理、嗅探器、數(shù)據(jù)中心和控制臺(tái))的設(shè)計(jì).

面向用戶(hù);網(wǎng)絡(luò)內(nèi)容;監(jiān)控系統(tǒng);網(wǎng)絡(luò)安全

隨著信息化社會(huì)的到來(lái)，網(wǎng)絡(luò)使用越來(lái)越普及，網(wǎng)絡(luò)安全性問(wèn)題也變得突出.網(wǎng)絡(luò)安全問(wèn)題從威脅產(chǎn)生的來(lái)源分析，一般分為來(lái)自外網(wǎng)的威脅和內(nèi)網(wǎng)威脅.當(dāng)前研究如何防御來(lái)自于外網(wǎng)的安全威脅的有很多，但是對(duì)于內(nèi)網(wǎng)用戶(hù)使用產(chǎn)生的安全問(wèn)題有所忽視，而實(shí)際上內(nèi)網(wǎng)的安全問(wèn)題同樣嚴(yán)重.有研究表明，內(nèi)網(wǎng)安全威脅來(lái)自于內(nèi)部網(wǎng)絡(luò)的錯(cuò)誤使用［1］.要提高內(nèi)部網(wǎng)絡(luò)使用的安全性，除了執(zhí)行嚴(yán)格的網(wǎng)絡(luò)使用規(guī)范外，對(duì)內(nèi)網(wǎng)用戶(hù)通信內(nèi)容及時(shí)、準(zhǔn)確的監(jiān)控是不可缺少的.只有做到這一點(diǎn)，才能以此為基礎(chǔ)發(fā)現(xiàn)網(wǎng)絡(luò)資源的不正常使用狀態(tài)，進(jìn)行網(wǎng)絡(luò)安全威脅的及早預(yù)防和及時(shí)控制，有效解決內(nèi)網(wǎng)安全問(wèn)題.筆者基于用戶(hù)行為設(shè)計(jì)了一種針對(duì)網(wǎng)絡(luò)內(nèi)容的監(jiān)控系統(tǒng)，能夠有效地完成對(duì)局域網(wǎng)內(nèi)部通信的監(jiān)控，提高網(wǎng)絡(luò)的整體安全性.

1 系統(tǒng)概要設(shè)計(jì)

目前內(nèi)部網(wǎng)大多數(shù)采用樹(shù)形、多層的硬件拓補(bǔ)結(jié)構(gòu).本系統(tǒng)通過(guò)在內(nèi)部網(wǎng)絡(luò)客戶(hù)機(jī)運(yùn)行監(jiān)控代理，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)安裝嗅探器的方式進(jìn)行網(wǎng)絡(luò)通信監(jiān)控，采用集中式的數(shù)據(jù)處理以及策略分發(fā)機(jī)制完成整個(gè)系統(tǒng)的控制.本系統(tǒng)結(jié)合傳統(tǒng)黑客監(jiān)控系統(tǒng)的優(yōu)點(diǎn)，同時(shí)具有分布式監(jiān)控、集中式管理的特點(diǎn).系統(tǒng)主要由4個(gè)部分構(gòu)成，分別是監(jiān)控控制臺(tái)、數(shù)據(jù)中心服務(wù)器、監(jiān)控代理和網(wǎng)絡(luò)嗅探器.系統(tǒng)整體結(jié)構(gòu)體系為2個(gè)部分，即系統(tǒng)的硬件體系和系統(tǒng)的軟件體系，具有結(jié)構(gòu)明晰和部署方便的易使用、易管理、易維護(hù)的特征.

系統(tǒng)硬件拓?fù)浣Y(jié)構(gòu)采用多層次、分布式體系［2］，由監(jiān)控控制臺(tái)、數(shù)據(jù)處理中心、網(wǎng)絡(luò)嗅探器和監(jiān)控代理組成，具體的硬件拓?fù)浣Y(jié)構(gòu)如圖1所示.

系統(tǒng)軟件模塊結(jié)構(gòu)如圖2所示，由前、后臺(tái)2個(gè)部分構(gòu)成.前臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)通信內(nèi)容的監(jiān)控和網(wǎng)絡(luò)信息采集，主要工作由監(jiān)控代理和網(wǎng)絡(luò)嗅探器完成;后臺(tái)實(shí)現(xiàn)全網(wǎng)的數(shù)據(jù)處理和策略分發(fā)，主要工作由數(shù)據(jù)中心服務(wù)器和監(jiān)控臺(tái)完成.監(jiān)控控制臺(tái)、監(jiān)控代理和網(wǎng)絡(luò)嗅探器各自具有獨(dú)立設(shè)計(jì)的軟件體系結(jié)構(gòu)，各個(gè)部分通過(guò)通訊接口連接在一起，形成監(jiān)控系統(tǒng)的總體軟件模塊結(jié)構(gòu).

(1)監(jiān)控代理運(yùn)行在內(nèi)網(wǎng)用戶(hù)計(jì)算機(jī)上，用于收集用戶(hù)網(wǎng)絡(luò)通信信息并報(bào)告給數(shù)據(jù)處理中心.它包括控制策略、事件感知器、監(jiān)控模塊、通訊模塊和其他服務(wù)模塊組成.控制策略模塊保存本地的安全策略，可以由用戶(hù)自行配置，也可以由數(shù)據(jù)中心服務(wù)器審核和配置;事件感知器掃描用戶(hù)的操作，獲得與網(wǎng)絡(luò)安全相關(guān)信息并提供給數(shù)據(jù)中心服務(wù)器審核;監(jiān)控模塊按照預(yù)先配置的本地策略對(duì)用戶(hù)的通信行為進(jìn)行控制;通訊模塊完成監(jiān)控代理和數(shù)據(jù)中心服務(wù)器的信息交互.

圖1 硬件的拓?fù)浣Y(jié)構(gòu)

圖2 軟件的模塊結(jié)構(gòu)

(2)監(jiān)控控制臺(tái)是系統(tǒng)集中式管理的體現(xiàn)，由客戶(hù)端代理和網(wǎng)絡(luò)嗅探器提供數(shù)據(jù)給數(shù)據(jù)中心服務(wù)器，監(jiān)控控制臺(tái)以此為基礎(chǔ)實(shí)現(xiàn)對(duì)全網(wǎng)通訊狀態(tài)的控制.針對(duì)管理員的操作要求，監(jiān)控臺(tái)首先對(duì)管理員身份進(jìn)行驗(yàn)證，驗(yàn)證后將管理員的命令解釋成計(jì)算可執(zhí)行的命令格式，權(quán)限檢查和管理員操作模塊負(fù)責(zé)完成上述功能;控制請(qǐng)求模塊實(shí)現(xiàn)控制命令的發(fā)送，更新請(qǐng)求模塊則實(shí)現(xiàn)系統(tǒng)信息獲取;通訊接口負(fù)責(zé)監(jiān)控臺(tái)和數(shù)據(jù)中心的交互.

(3)網(wǎng)絡(luò)嗅探器是前臺(tái)網(wǎng)絡(luò)通信監(jiān)控和信息采集的一部分［3］，位于網(wǎng)絡(luò)關(guān)鍵路徑節(jié)點(diǎn).數(shù)據(jù)報(bào)截獲模塊完成網(wǎng)絡(luò)中傳輸信息捕捉，協(xié)議分析模塊按照具體通信行為分析出系統(tǒng)可理解的數(shù)據(jù)格式，規(guī)則匹配模塊則對(duì)通信內(nèi)容進(jìn)行過(guò)濾，執(zhí)行模塊執(zhí)行相應(yīng)的動(dòng)作;通訊模塊與數(shù)據(jù)中心服務(wù)器進(jìn)行信息交互，提交檢測(cè)到的異常數(shù)據(jù)，執(zhí)行數(shù)據(jù)中心發(fā)來(lái)的命令.

(4)數(shù)據(jù)中心服務(wù)器是整個(gè)系統(tǒng)的“數(shù)據(jù)大腦”，對(duì)監(jiān)控代理、控制臺(tái)和嗅探器分別進(jìn)行控制.控制器利用各部分傳來(lái)的信息，參照知識(shí)庫(kù)信息來(lái)網(wǎng)絡(luò)信息與操作狀態(tài)是否合法，數(shù)據(jù)中心服務(wù)器與每個(gè)通訊對(duì)象都具有獨(dú)立通訊模塊，提高了系統(tǒng)的可靠性.

(5)知識(shí)庫(kù)是一個(gè)SQL數(shù)據(jù)庫(kù)，用于保存系統(tǒng)規(guī)則集、控制策略和系統(tǒng)運(yùn)行日志.

2 主要子系統(tǒng)設(shè)計(jì)

在基于代理的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)中，代理是整體架構(gòu)中的重要組成部分和執(zhí)行者，其設(shè)計(jì)和實(shí)現(xiàn)直接影響整個(gè)系統(tǒng)的性能和效率.監(jiān)控代理詳細(xì)功能模塊如圖3所示.

圖3 監(jiān)控代理詳細(xì)功能模塊

網(wǎng)絡(luò)嗅探器子系統(tǒng)實(shí)現(xiàn)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)聽(tīng)和陌生機(jī)器探測(cè)，同時(shí)配合各監(jiān)控代理實(shí)現(xiàn)內(nèi)網(wǎng)用戶(hù)客戶(hù)機(jī)狀態(tài)的判斷，是系統(tǒng)前臺(tái)的組成部分，其詳細(xì)功能模塊如圖4所示.

圖4 嗅探器詳細(xì)功能模塊

監(jiān)控臺(tái)是管理員與監(jiān)控系統(tǒng)的人機(jī)交互的途徑，監(jiān)控臺(tái)實(shí)時(shí)將網(wǎng)絡(luò)管理員的指令傳達(dá)給數(shù)據(jù)中心服務(wù)器，并經(jīng)數(shù)據(jù)中心轉(zhuǎn)發(fā)到嗅探器和各監(jiān)控代理單元，其詳細(xì)功能模塊如圖5所示.

圖5 監(jiān)控臺(tái)詳細(xì)功能模塊

數(shù)據(jù)中心作為整個(gè)系統(tǒng)的“數(shù)據(jù)大腦”，實(shí)現(xiàn)事務(wù)處理、消息中轉(zhuǎn)、通訊樞紐等作用，其詳細(xì)功能模塊如圖6所示.

圖6 數(shù)據(jù)中心詳細(xì)功能模塊

3 系統(tǒng)整體結(jié)構(gòu)的實(shí)現(xiàn)

本系統(tǒng)分為前臺(tái)和后臺(tái)2個(gè)部分.

前臺(tái):由監(jiān)控代理和網(wǎng)絡(luò)嗅探器模塊構(gòu)成.前臺(tái)負(fù)責(zé)收集內(nèi)網(wǎng)用戶(hù)的通信信息和網(wǎng)絡(luò)內(nèi)部進(jìn)出局域網(wǎng)的IP數(shù)據(jù)包，根據(jù)預(yù)先設(shè)置的策略對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾;同時(shí)將收集到的信息按照業(yè)務(wù)類(lèi)型進(jìn)行預(yù)處理并提交給后臺(tái)(數(shù)據(jù)中心服務(wù)器)保存，以便業(yè)務(wù)處理時(shí)的還原、查詢(xún)、定位和取證.

后臺(tái):對(duì)前臺(tái)提交的信息進(jìn)行綜合處理，還原成可識(shí)別的內(nèi)容(如電子郵件、網(wǎng)頁(yè)等)，在進(jìn)行內(nèi)部網(wǎng)絡(luò)的安全狀態(tài)識(shí)別同時(shí)形成數(shù)據(jù)報(bào)告進(jìn)行證據(jù)固化，通過(guò)對(duì)證據(jù)的組織，最終形成符合司法規(guī)范的取證分析報(bào)告;同時(shí)產(chǎn)生相關(guān)安全命令(安全策略)分發(fā)給各代理和網(wǎng)絡(luò)嗅探器;另外，系統(tǒng)提供用戶(hù)查詢(xún)、設(shè)置策略的使用界面，通過(guò)界面，可以將管理員預(yù)先設(shè)置的安全策略分發(fā)給前臺(tái)執(zhí)行.系統(tǒng)循環(huán)檢測(cè)數(shù)據(jù)庫(kù)中的信息，并按設(shè)定的條件進(jìn)行報(bào)警.

4 結(jié)語(yǔ)

為了有效解決內(nèi)網(wǎng)安全問(wèn)題，設(shè)計(jì)了面向內(nèi)網(wǎng)用戶(hù)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng).該系統(tǒng)通過(guò)在內(nèi)網(wǎng)主機(jī)部署監(jiān)管代理和在內(nèi)網(wǎng)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)部署嗅探器的方式，捕獲內(nèi)網(wǎng)用戶(hù)通訊流量異常，結(jié)合數(shù)據(jù)中心的知識(shí)庫(kù)及時(shí)發(fā)現(xiàn)和定位內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)安全.

［1］ 蔡喜平，欒宇航，湯 深.淺談企業(yè)內(nèi)部網(wǎng)絡(luò)安全威脅與防范［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007(3):65-67.

［2］ 張信杰，王旭仁，吳 剛.分布式網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2010，31(17):37-97.

［3］ 蔣卓明，翟偉斌，周振柳，等.基于內(nèi)容審計(jì)的千兆網(wǎng)絡(luò)監(jiān)控系統(tǒng)的設(shè)計(jì)［J］.計(jì)算機(jī)應(yīng)用研究，2008，25(4):1 115-1 116.

(責(zé)任編輯 向陽(yáng)潔)

Design of Web Content Monitoring System for Intranet Users

ZHOU Tie，DUAN Ming-xiu
(College of Information Sicence and Engineering，Jishou University，Jishou 416000，Hunan China)

A web content monitoring system for intranet uses’security is desigued.The overall design and the design of the key components such as supervision agent，sniffer，data center and console are described in detail.

user-oriented;web content;monitoring system;web security

TP309

A

10.3969/j.issn.1007-2985.2013.02.008

1007-2985(2013)02-0036-05

2012-11-29

周 鐵(1976-)，男，湖南石門(mén)人，吉首大學(xué)信息科學(xué)與工程學(xué)院講師，碩士，主要從事網(wǎng)絡(luò)安全研究.