一種網絡終端監控系統設計

譚　寧

[摘要]針對目前網絡終端監控軟件存在的一些問題，提出改進的網絡終端監控系統模型，設計監控客戶端、服務器端的功能模塊。

[關鍵詞]網絡終端 監控系統 客戶端 服務器

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0520065－01

目前，網絡的安全防御主要側重于保護網絡與網絡之間的安全，而網絡內部的終端安全也是非常重要的。特別對于局域網和企業內聯網，一方面需要保護網絡內部合法用戶的安全，另一方面還需要監控網絡中非法用戶的越權操作、上網情況。故提出網絡終端監控系統（Network Terminal Monitoring Systems，NTMS）模型，并在此模型基礎上對網絡監控系統進行模塊劃分和模塊設計。

一、NTMS模型設計

網絡終端監控系統模型致力于解決目前大多數網絡終端監控軟件存在的兩個問題：第一，監控客戶端顯式運行，容易被破壞；第二，監控雙方采用明文傳輸，容易被截獲破解。該系統設計了一個監控網絡內部各節點主機關鍵信息的網絡終端監控系統，采用C/S結構，客戶端運行在各主機節點上、負責收集主機上的關鍵系統信息，然后發送給網絡內的服務器端，由服務器端收集并整理這些信息，為進一步分析提供數據支持。

網絡監控系統基于同一個網絡內，監控各節點主機的關鍵信息。網絡通過裝有防火墻的路由器與因特網相連。匯集到監控服務器的節點信息可以作為網絡管理員的分析來源，也可以作為入侵檢測系統或者相關部門取證的數據輸入。

系統主要應用于內部局域網，體系結構采用得到廣泛應用的C/S結構。本系統分為兩部分：監控客戶端和監控服務器端。監控客戶端隱蔽的運行于網絡各臺主機上，將主機有關信息發送給監控服務器端。監控服務器端獨立運行于網絡某臺單獨的主機上。

1．客戶端運行著監控驅動程序，它是整個系統的數據源，由于采用了進程隱藏技術，使得監控程序能夠防止被強行結束，從而保證監控的連續性和可靠性。

2．為了減輕客戶端的負荷以及出于安全方面的考慮，系統采用集中式的數據管理辦法，統一進行數據的管理和匯總，這樣維護數據的完整性和穩定性變得容易許多，同時有利于服務器端快速的檢索和顯示數據。

3．從總體結構上看，本系統可以分為兩大部分：客戶端和服務器端。服務器端從層次上看有二層結構：進行數據處理和維護的后臺，數據顯示和匯總的前臺。這樣結構的一個明顯的好處是模塊獨立化，符合軟件工程的高內聚、低偶合的開發模式。一旦其中的一臺計算機出現錯誤，不會影響其他機器數據的準確性。前臺的主要作用就是對特定的數據進行不同方式的顯示，即根據不同的查詢要求顯示相應的記錄、各類數據的匯總，后臺主要完成對前臺的支持，包括數據的完整性約束、增加新的客戶端、對各種數據進行建檔、運行時的維護管理、系統維護等。通過這樣的處理，能夠大大降低客戶端的負荷，使之工作效率提高，運行穩定。即使監控端和其中的一臺計算機之間的通信過程中發生錯誤，也不會影響到其他客戶端計算機的運行，使各個客戶端的運行相互獨立，從而更好地提高系統的穩定性。

二、NTMS結構設計及功能模塊

NTMS劃分兩個部分：服務器端、客戶端。服務器端主要包括安全監控模塊、即時通信監控模塊、信息顯示模塊、集成工具模塊和中心數據庫。客戶端包括通信模塊和隱藏模塊。下面將詳細介紹各個模塊的功能。

（一）服務器端監控模塊

1．安全監控模塊包括：局域網掃描處理模塊、端口匯總處理模塊、過濾分析處理模塊、日志處理模塊、防火墻處理模塊等。通過監控服務器對局域網內所有流入和流出的IP地址、端口進行動態分析，根據端口和流入和流出的數據包分析異常，判斷是否非法操作。按IP地址進行端口匯總查看非法使用的網絡進程。對異常的IP地址可以單獨分析，判斷非法操作的主要對象。可以利用防火墻對端口和地址進行封鎖。2．信息顯示模塊包括：抓屏處理模塊、客戶端鎖定模塊、通信處理模塊、客戶端管理模塊等。主要定期監視客戶端，對流量發現異常，進行遠程抓取客戶端直接查看屏幕，若發現非法使用，用消息模塊發出警告提示，若不理會，那就鎖定客戶端或者遠程關閉客戶端。3．即時通信模塊。主要針對在非正常時間使用如QQ、MSN等進行內容和消息捕捉等。4．集成工具模塊包括：路由測試和聯通測試。利用些工具對本地局域網測試連通性和遠程網絡路由的功能測試，使管理員能快速找到網絡故障的原因。5．中心數據庫。主要對產生的各種數據進行存儲和管理，是系統監控數據的存儲中心。

（二）客戶端監控模塊

客戶端由消息部分、本地接受服務器發的請求處理模塊組成，通過這些功能表之間的相互作用，可以保證整個系統完整性。客戶端主要包括以下幾個部分：1．信息捕獲部分：主要負責收集主機上的關鍵系統信息；2．通信模塊：主要功能是接受服務端發送來指令或消息，做出相應的回應，如鎖定/解鎖、關機等指令，同時實現與服務器端之間加密通信；3. 隱藏模塊：主要負責客戶端的自動加載和對應進程自動隱藏。

三、系統的運行環境

1．硬件環境。主要對服務器發出的指令做出回應，如鎖定/解鎖、關本系統采用基本的C/S結構，客戶端和監控端對硬件沒有什么特殊要求，由于整個系統運行在基于TCP/IP協議之上，因此兩端的計算機必須都安裝網卡并且能夠正常工作。在經濟條件允許的條件下，監控端應該采用高性能的機器配置，因為數據的統計處理都是在監控端完成的。由于本系統從總體上來說對機器的硬件配置要求不高，因此有著更廣泛的適用空間。

2．軟件環境。無論是客戶端還是監控端都要求操作系統的版本要達到WinNT/Win98/ Win2000/WinxP以上，對保存圖像結果的是ACCESS2000實現的，因此監控端必須安裝OFFICE。

3．系統的開發工具。在系統需求已經相對確定的情況下，開發工具的選取將會對整個系統的開發效率和周期產生非常重要影響）合理選擇開發工具將會提高開發效率，降低開發成本，提高系統穩定性，同時使系統的維護更加容易。

由于產生的數據類型相對簡單，本系統的后臺數據庫采用了Access，這樣可以使得操作數據庫簡單方便。無論客戶端和監控端的開發，都需要直接調用大量系統提供的API，為了整個系統開發的一致性和后續開發的連貫性，所有的模塊設計和開發完全采用VB6.0來實現。可以方便快捷地調用Windows系統提供的各個接口函數，還可以充分利用模塊化的思想來構建整個系統的架構。由于系統開發過程中各個模塊的實現是基于組件形式分別來完成的，所以后繼開發和維護都較方便。

參考文獻：

[1]商諾諾、周欣明、王東，計算機網絡安全及防范策略探討[J].黑龍江科技信息，2008（9）.

[2]陳斌，計算機網絡安全與防御[J].信息技術與網絡服務，2006（4）.

[3]戴玉潔，關于網絡入侵檢測系統的技術改進[J].福建電腦，2007（02）.

作者簡介：

譚寧，男，漢，淄博職業學院信息工程系，副教授，研究方向:計算機網絡。