基于網絡監聽的網絡安全平臺構建

摘要:在網絡技術飛速發展的今天，網絡安全技術的發展不斷成熟。目前，市場上充斥著大量的網絡安全系統，但他們并沒有達到防外又防內的功能，往往只能監視網絡的狀況?，F在成熟的網絡和先進的計算機水平正日益為這個系統和平臺添加新的進展。該文在分析了網絡監聽功能的基礎上，闡述了構建基于網絡監聽的網絡安全平臺的思路，說明了其實現模型及主要功能。

關鍵詞:網絡安全;網絡監聽;網絡安全系統

中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2010)11-2586-03

1 概述

1.1 網絡上黑客的存在威脅著網絡安全

在網絡飛速發展的今天，網絡安全是最熱門的話題，也是計算機人最注目的焦點。網絡時代締造了前所未有的新感覺和新生活，主要表現在無窮的信息量不僅激發了現代個體的廣泛興趣和潛力，同時也為各種社會群體創造了無限的發展空間。而正當全社會陶醉于網絡時代的精彩故事之中時，網絡的不安全因素也潛滋暗長著，其中最典型的當屬病毒和網絡黑客正在和已經給用戶帶來的恐慌和慘重損失。當你真正了解黑客技術，你往往會在網絡上飛馳時有一種不安全的感覺。黑客真的這么可怕嗎?有媒體報道，中國大約有95%的與Internet相連的網絡管理中心都遭到過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。網絡犯罪的遞增、大量黑客網站的誕生，促使人們思考網絡的安全性問題。

1.2 黑客技術并沒有好壞和善惡之分

黑客技術是一種科學技術。黑客技術既有攻擊性，也有防護的作用。黑客技術不斷促使計算機和網絡產品供應商不斷地改善他們的產品，對整個Internet的發展一直起著推動作用。黑客技術并沒有好壞和善惡之分，問題在于你怎樣來使用他。黑客技術要是運用妥當，將會起到和好的防護作用。

1.3 網絡監聽在網絡安全中的作用

網絡監聽可以實現對內部網絡的監視，也就是說通過網絡監聽可以達到對內部網絡的各種漏洞進行檢查，例如，冰河是一種控制力很強的木馬程序，但它給我一個啟發，就是它帶有的掃描工具可以檢測誰中了冰河(或說有了后門)，因此我們想在網絡監視下不斷掃描和檢測這些漏洞和后門，同時進行數據收據和檢測分析并給對機器進行警告甚至中斷它的網絡服務。在控制者要控制別人的主機時，他必須先進行檢測他的后門開了沒有(通常需要向某一個端口連續的發送數據包)并不斷的發送控制命令。這樣的話他必須對某個端口進行不斷的發送信息，因此，我們可以用網絡監聽的方式來接受他的數據包，同時進行分析掃描他要向那一臺機子的哪個端口發送數據包來確定是否進行了不應該的控制。

2 網絡安全平臺的可行性分析和需求分析

2.1 可行性分析

現在通用的網絡是從當年的ARPANET網絡發展來的，這二十多年來TCP/IP網絡模型已成為工業上的事實標準。在網絡飛速發展的今天，網絡安全技術有了飛速的發展在技術上不斷成熟。

目前，市場上大量的網絡安全系統并沒有達到防外又防內的功能，往往只能監視網絡的狀況，使黑客有了可乘之機。很多優秀的網絡安全公司正在努力開發這類產品，成熟的網絡和先進的計算機水平正日益為這個系統和平臺添加新的進展。

2.2 網絡安全平臺的需求分析

2.1.1輸入數據流分析

整個網絡安全平臺是基于網絡監聽的基礎上的，是在數據采集和分析基礎上完成的。因此，主要的輸入數據流有:

1)網絡數據包，包括:IP數據包、TCP數據包、UDP數據包、ICMP數據包;

2)主機信息，包括:主機IP地址、主機名和域、網絡物理地址、系統時間、系統進程和線程;

3)網絡用戶信息，包括:地址列表、訪問時間表、訪問操作和進程。

2.1.2網絡輸出數據流分析

基于網絡監聽的網絡安全平臺主要的輸出流有:

1) 網絡信息流量報表;2) 網絡連接報表;3) 網絡用戶地址列表;4) 網絡用戶權限表;5) 網絡用戶數據包分析報表;6) 訪問端口統計表;7) 網絡用戶黑名單;8) 網絡安全現狀分析報表。

3 網絡安全平臺的總體設計

網絡監聽是黑客們常用的技術，他們利用網絡監聽來獲取有用的用戶信息甚至超級用戶權限。他們是怎樣實現這一個功能的?往往黑客們使用黑客技術來攻擊主機和截獲數據包來實現。因此，我們設想構建的網絡安全平臺功能有:

1) 數據包接收和分析;2) 統計網絡內部資源使用情況;3) 統計外部訪問數量和內部外訪情況;4) 自動生成用戶訪問地址表;5) 生成用戶訪問數據和操作表并建立庫;6) 動態網段主機端口檢測;7) 生成黑客用戶黑名單并限制權限。

安全平臺的設計原則為:

1) 不修改系統內核程序;2) 系統的安裝和拆卸不停機;3) 用戶的進入不需要繁瑣的輸入;4) 是一種預防防御系統，但不影響訪問信息和資源的方便性。

網絡平臺示意圖如圖1所示。

網絡安全平臺總體設計如圖2所示。

網絡安全平臺是依托在網絡服務器(或其他可能受侵犯的應用程序)的網絡安全的軟件包構件。它能檢測、防止來自外界的各種形式的入侵，檢測和防御內部主機的不安全因素，并將更進一步的行動方案通知相關各方。

我們認為，基于網絡監聽的網絡安全平臺構件應獨立于操作系統(OS)和網絡服務器。但是，在具體服務時，應基于具體的平臺和操作系統。而基于不同平臺和操作系統的服務是大不相同的。因此，在第一階段，不同的軟件包或插入構件應基于不同平臺和操作系統而構建。

網絡安全平臺基本設計為六個子件:網絡監聽檢測、數據分析、反入侵、內部網絡安全掃描、網絡信息統計和警報通知。

4 網絡監聽平臺的功能分析和擴展

4.1 網絡監聽和數據采集模塊

該模塊是整個網絡安全平臺的基礎，該模塊是整個平臺的核心之一，也是整個網絡平臺的支撐。

數據來源:網絡接口和主機操作系統

功能描述:

首先，網絡監聽模塊應能接受和保存數據包，網絡監聽軟件運行時，需要消耗大量的處理器時間，因此，程序就須考慮采用多線程的方法，同時提供數據包保存和為分析模塊提供接口。

其次，用戶信息的獲取和提供用戶信息接口。主機信息(例如，主機名、主機地址、主機進程列表等扽)和訪問用戶的信息(例如，訪問時間、訪問來源地址、訪問操作、訪問時間等等)信息的獲取以提供給數據來生成列表來建立數據庫。提供數據接口給數據庫。

4.2 數據包分析和報表生成

該模塊是整個網絡安全平臺的核心部分，它是網絡平臺最終完成事務和防御的基礎。同時也是黑客與非黑客之間區別的判定標準之一。

數據來源:網絡監聽模塊和主機操作系統。

功能描述:

首先，對獲取的用戶信息和用戶發送來的數據報信息等數據源生成用戶數據報表，然后分析數據包內部信息和訪問以及操作信息生成用戶行為報表。

其次，對上一步生成的用戶數據報表和用戶行為報表進行實時的行為規范檢測以判斷用戶的行為。如若是正常的行為，則在生成的用戶訪問列表上“Style”注明為“Normal”。相反，則在生成的用戶訪問列表的“Style”項上注明“Cracker”。同時，在黑客名單上填入黑客用戶信息(IP地址、訪問時間、操作等等)，并提供數據接口給數據庫。

4.3 反入侵和黑客追蹤

該模塊是網絡安全的最終解決方案的終結者。它將成功地發現黑客的入侵行為并獲取黑客的信息同時發出警報并做出相應的反入侵操作。

數據來源:網絡監聽，數據分析

根據數據分析模塊生成的用戶訪問列表中的\"Style\"項上的屬性(Normal，Cracker，Scaner..)和用戶行為列表來對黑客的入侵做出相應的操作。并屏蔽改用戶的網絡訪問權限(如IP屏蔽、物理地址屏蔽、權限屏蔽等等)，同時，該模塊還將提交黑客入侵和攻擊報表到數據庫，并定時根據數據庫上的信息來生網絡現狀報表。

4.4 內部網絡安全掃描模塊

該模塊是一個相對獨立的模塊。它將提供網絡端口的動態掃描和對網絡端口開放現狀進行分析，從而根據網路數據訪問特征(例如，木馬程序將不斷訪問某主機的某個端口)來判定該網絡中是否存在不安全主機。

4.5 網絡統計

該模塊是對內部網絡的信息流量進行分析和統計以判斷網絡的繁忙程度，該統計數據將成為網絡建設擴展的根據。

5 實現網絡監聽平臺工作流圖數據庫的構建

基于網絡監聽的網絡安全平臺的工作流程基本如圖3。

實現基于網絡監聽的網絡安全平臺的主要數據格式如表1~表7所示。

6 結束語

網絡監聽技術在網絡世界中廣泛存在，并有著大量的廣泛應用。該文闡述的基于網絡監聽的網絡安全平臺的構建思路及模型對組建企業級網絡安全平臺有積極的指導作用。網絡安全是計算機向網絡化發展的永恒的話題，我們只有在網絡的環境中不斷地完善網絡和安全平臺，網絡才能為我們提供一個真正可以安全輕松暢游的世界。

參考文獻:

[1] 楊守君.黑科技術和網絡安全[M].北京:中國對外翻譯出版公司，2000.

[2] Hall M.Windows Sockets-An Open Interface for Network Programming under Microsoft Windows[Z].Document，1993.

[3] Hall M.Windows Sockets 2 Application Programming Interface[Z].Document，1995.

[4] Ohlund J J.Network Programming for Microsoft Windows[M].Microsoft Press，1999.

[5] 將東興，林鄂華，印敏，等.Windows Sockets 網絡程序設計大全[M].北京:清華大學出版社，1999.

[6] Wright G R，Stevens W R.TCP/IP 詳解卷2:實現[M].陸雪縈，蔣慧，譯.北京:機械工業出版社，2000.