網絡安全審計與監控系統的設計與實現

摘要：該文給出了網絡安全審計與監控系統的整體設計，提出了系統監聽方式下和網橋方式下的拓撲結構，該文還給出了系統的功能模型實現流程，包括安全審計模型的實現流程和網絡監控模型的實現流程，系統中的IP地址盜用模塊設計和代理服務器監控模塊設計和實現。該系統通過測試，運行良好，取得了較好的實用效果。

關鍵詞：電力系統；網絡安全；安全審計；網絡監控

中圖分類號：TP393.08文獻標識碼：A文章編號：1009-3044(2008)25-1391-03

The Design and Realization of Network Security Audit and Monitoring System

LIU Chan-juan

(Ludong University Department of Computer Science Technology， Yantai 264025， China)

Abstract: This paper presents a whole design of network security audit and monitoring system， including the design of monitoring module in Proxy and network capability， etc. And it also proposes the implement flow of these function models including the implement flow of security audit model and network monitoring model， it also gives the design and realization of IP address peculate model and monitoring module in Proxy. This system has greatly improved the level of safety management of network through the practice for an application case and has obtain good actual effect.

Key words: Electrical Power System; Network Security; Audit; Network Monitoring

1 引言

在物理容災方面， 電力系統目前的防護措施已較為完善， 而在對黑客攻擊與網絡化病毒的防護方面， 特別是黑客攻擊， 雖然已建立了初步的防護體系， 但由于電力系統數據網絡在建設和管理中缺乏有效的指導， 同時也因黑客技術的不斷發展， 在這方面還遠遠不能達到應有的效果。因此， 如何優化已有的系統軟件和安全產品， 如何建立多層次的安全防護體系， 仍是電力數據網絡發展中必須面對的重要問題[1]。保證電力數據網的穩定性、安全性和保密性，需要研究多層次的審計和監控手段，研發高效的網絡安全審計與監控技術，研制自己的功能較完備的網絡安全監控與審計系統，這是十分有意義的，所以展開對此課題的研究有重要的實用價值。

2 系統的總體設計

在系統開發初期階段，經過反復調研，分析系統應用的軟硬件環境，跟蹤相關領域的研究情況，最后本系統確定了基于Unix系統平臺，以B/S（Brower/Server）為開發模式，利用SNMP（簡單網絡管理協議）進行網絡監控，運用Unix平臺下的C語言的開發監控代理程序，利用Oracle OCI調用接口進行數據庫操縱，結合PHP語言進行數據的網絡發布的整體開發模式和方法[2]。網絡安全審計和監控技術有兩部分含義：系統安全審計與網絡監控。系統的功能需求可歸納為兩大部分：即基于日志形式的安全審計部分及基于SNMP的網絡監控部分。

3 系統主要模塊的設計

3.1 IP地址盜用模塊的設計

在本模塊開發初始，考慮到由于IP地址盜用只能發生在同一子網（Subnet）中，而網絡中以太網卡MAC地址全球唯一不能改變，故通過綁定同一子網中的IP和以太網卡MAC地址便可區分合法用戶與非法用戶[3]。系統分四步：首先是建立一張IP地址和MAC地址的對應表，對應表中記錄了合法用戶的IP地址和MAC地址的對應關系。其次運行監測程序，監測子網中的各個IP地址對應的MAC地址是否與先前建立的對應表中的對應情況一致。若相同，說明合法用戶正在使用。若發現不一致，說明非法用戶正在盜用合法用戶的IP地址，此時系統產生報警，記錄非法用戶的盜用信息。第三步運行阻斷程序，對非法用戶進行攻擊。采用地址分辨協議ARP（Address Resolution Protocol）偽造技術，向非法用戶主機發送ARP Spoofing攻擊包，斷開非法用戶主機的網絡連接，禁止其繼續使用網絡。最后是將監測的盜用信息進行網上發布，這樣管理員可以隨時通過瀏覽器查看IP盜用情況。

IP地址盜用監控模塊功能結構見圖1。數據采集模塊利用UCD-SNMP網管軟件，通過編寫代理程序，每隔固定時間間隔向路由器等網絡設備采集數據，并將采集數據傳送給數據處理模塊。數據處理模塊包括數據分析模塊和阻斷模塊兩個子模塊。數據分析子模塊負責接收來自代理的數據，分析是否存在IP盜用情況，若存在則產生報警信息，隨之調用阻斷子模塊，對非法用戶進行攻擊，阻止其繼續使用網絡。數據發布模塊包括報警信息入庫模塊和數據瀏覽模塊。入庫模塊完成盜用信息的存儲入庫，而瀏覽模塊提供給管理員一個可視界面，用來瀏覽和管理報警信息，了解網絡的使用情況。

3.2 代理服務器監控模塊設計

在具備專線接入的大型局域網中，一般都采取代理服務器的方式接入Internet。采用代理服務器形式接入Internet的好處顯而易見：可以充分利用現有IP實現更多用戶同時訪問Internet，但相應的各種各樣的問題也隨之到來：網絡用戶增多了，如何對內部用戶訪問外部網絡情況進行統計，如何對網絡用戶訪問的內容進行審計和監察，如何對網絡流量進行統計及對數據流向進行監控，以及代理服務器本身服務情況統計等等。這些問題的出現，直接引出了代理服務器的監控問題。

在該模塊設計時，根據實際需求，設計了該模塊的主要功能包括三個部分：

1) 今日訪問情況統計：包括最常訪問網站統計，用戶點擊率統計，代理服務器訪問率統計和訪問代理成功和失敗情況統計。

2) 客戶機監控：包括客戶機訪問代理統計，客戶機流量統計和客戶機訪問網站統計。

3) 代理服務器性能分析：包括代理服務響應碼分析及服務傳輸時間統計。

為實現上述功能，結合具體的Unix平臺，具體設計出了代理服務器監控模塊的功能結構圖，如圖2所示，主要包含三個方面的功能：代理日志采集，代理日志分析及信息發布三部分。

■

圖2 代理服務器監控功能結構圖

4 系統的實現

4.1 系統功能模型的實現流程

本系統設計的主體功能包括兩大部分：安全審計模型和網絡監控模型。系統的安全審計功能主要基于系統的各種日志信息，如系統日志，用戶操作記帳日志，代理服務器日志等。通過編制數據采集程序采集相關的日志信息，同時利用數據分析程序對審計跟蹤文件的信息進行分析處理，經過審計得到計算機系統或網絡是否受到攻擊或非法訪問，并對采集的審計數據進行入庫操作，保留安全審計結果，同時利用保存的統計數據繪出各種統計分析圖表，最終通過構建Web服務器，將審計結果進行網絡發布，提供給用戶直觀的瀏覽界面[4]，方面管理員進行綜合分析和審計，提高網絡管理水平。系統中安全審計模型圖如圖3所示。

■

圖3 安全審計模型圖

在本模塊開發過程中，首先要做的就是網絡數據的采集，經過采集模塊得到的數據經通信模塊傳送給分析過濾模塊，經過分析和過濾得到相應的統計數據，同時將統計數據保存到數據庫，以方便做數據的縱向分析比較，最后用Web數據發布方式將監控結果和統計分析情況發布到網絡。網絡監控功能模型如圖4所示。

■

圖4 網絡監控模型圖

4.2 IP地址盜用監控模塊的實現

本模塊的數據采集代理程序是基于UCD-SNMP代理軟件開發平臺開發的。UCD-SNMP代理開發平臺提供了非常多封裝好的庫函數和鏈接庫，這使得代理程序的開發得到極大方便。在IP盜用監控過程中，代理程序的主要任務是采集當前網絡中處于活動狀態的IP地址信息，包括IP地址和以太網卡MAC地址，并將他們綁定在一起，與登記的合法IP和MAC地址對相比較，作為判定IP是否合法的標準。

代理程序通過SNMP協議定期訪問被管設備，取得當前網絡中IP使用情況。通過訪問設備的MIB（ManagementInformationBase）中IP接口組的IpNetToMediaPhysAddress對象值，獲得當前網絡中活動主機的IP地址和MAC地址的對應關系，而后將得到的信息發送到數據處理程序。系統中代理程序實現數據處理的算法流程圖如圖5所示。

當代理程序采集到數據后，就將數據傳送給數據分析處理模塊。數據分析模塊負責接收和分析代理程序返回的數據，并將數據和合法IP和MAC對應表比較，判斷是否存在IP地址盜用，此時存在多種情況。經過分析模塊的分析，對于IP盜用情況，系統會自動產生報警信息，包括盜用者的原始IP和注冊登記信息（在其完成網絡登記的情況下）、盜用者主機網卡MAC地址，被盜用主機的IP地址、MAC地址及主機登記信息。這些數據應該妥善的保存起來，并提供給網絡管理員查閱，方便其查找盜用IP者起到威懾作用。數據存儲入庫程序采用C語言結合Oracle OCI(Oracle Call Interface)接口，在UNIX平臺完成了盜用信息的收集和入庫工作，將盜用信息存儲在Oracle數據庫中，為數據的網絡發布做鋪墊[5]。

4.3 代理服務器監控模塊的實現

在模塊的實現過程中，主要利用隊列技術實現高速緩沖區的設計，同時用FIFO(First In First Out)機制來控制對緩沖區的訪問，使得日志寫入和入庫讀取高速緩沖區不發生沖突。對于代理服務器的監控無外乎兩個方面的內容，對用戶訪問網絡的統計和對代理服務器本身服務的監控。本模塊中，對日志的分析過程是通過對數據庫的查詢分析得到的，通過PHP語言，利用復雜的SQL語句操縱數據庫，實現數據的統計與分析，最終將結果返回給管理員。

5 結束語

電力營銷管理信息系統的不安全因素是由計算機系統的脆弱性以及人為因素造成的。從系統的結構、系統資源與實施及運行環境來分析，實施一個安全的電力營銷管理信息系統，需要通過管理手段將人為破壞因素降到最小，通過技術手段降低自然因素對系統的危害。

參考文獻：

[1] 姚小蘭， 李保奎， 董寧， 等. 網絡安全管理與技術防護[M]. 北京:北京理工大學出版，2002.

[2] Peter Kuo. 最新UNIX開發使用手冊[M]. 北京:機械工業出版社，2000.

[3] Hansen， Lesley. Network Infrastructure Security[J]. Network Security，1999，12(6):57-61.

[4] 王琛， 等. Unix分布式身份認證和審計系統的設計和實現[M]. 北京:機械工業出版社，1998.

[5] 胡峪， 劉靜. VC++高級編程技巧與示例[M]. 西安:電子科技大學出版社，2001.