網(wǎng)絡(luò)信息監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

　　 摘要:本文針對網(wǎng)絡(luò)信息監(jiān)控的問題，分析了基于SNIFFER技術(shù)的信息監(jiān)控技術(shù)。它能夠在高速網(wǎng)絡(luò)的邊界路由器上進(jìn)行網(wǎng)絡(luò)信息監(jiān)測，能及時(shí)對網(wǎng)絡(luò)上的安全事件進(jìn)行處理。
　　 關(guān)鍵詞:信息監(jiān)控 網(wǎng)絡(luò)安全
　　
　　 由于網(wǎng)絡(luò)上不良信息的傳播給社會(huì)政治、經(jīng)濟(jì)等方面帶來了許多負(fù)面影響，且我國傳統(tǒng)的各種網(wǎng)絡(luò)安全工具無法滿足人們對網(wǎng)絡(luò)信息內(nèi)容的監(jiān)測需要，因此，我們急需擁有自主版權(quán)，又能夠適應(yīng)高速網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)信息監(jiān)測系統(tǒng)軟件。
　　 一、網(wǎng)絡(luò)信息監(jiān)控系統(tǒng)的實(shí)現(xiàn)手段
　　 網(wǎng)絡(luò)信息監(jiān)控軟件分為三種類型：
　　 1．基于網(wǎng)絡(luò)服務(wù)或者網(wǎng)絡(luò)服務(wù)日志的信息監(jiān)控
　　 網(wǎng)絡(luò)服務(wù)通常是通過各種服務(wù)器提供的。它通過修改各種服務(wù)器軟件，在其中嵌入信息過濾代碼，使服務(wù)器軟件自身具備信息監(jiān)測和過濾的功能。
　　 2．基于代理服務(wù)器技術(shù)的信息監(jiān)控
　　 多個(gè)代理服務(wù)器組成服務(wù)器集群，提供信息的監(jiān)控和過濾服務(wù)。信息流進(jìn)入proxy后，必須經(jīng)過過濾器的過濾后才能進(jìn)行轉(zhuǎn)發(fā)。過濾器依據(jù)規(guī)則集合庫中的規(guī)則，對信息進(jìn)行過濾。過濾后的合法信息通過代理服務(wù)器轉(zhuǎn)發(fā)到用戶，而非法信息則被拋棄。
　　 3．基于SNIFFER技術(shù)的信息監(jiān)控技術(shù)
　　 在邊界路由器上設(shè)置監(jiān)聽端口，就能捕獲到通過邊界路由器的所有數(shù)據(jù)包。很多網(wǎng)絡(luò)設(shè)備都是通過端口映射的方式，獲取通過交換機(jī)的所有數(shù)據(jù)報(bào)文。
　　 二、網(wǎng)絡(luò)信息監(jiān)控系統(tǒng)的設(shè)計(jì)
　　 1．系統(tǒng)設(shè)計(jì)思想的提出
　　 首先，基于鏈路層采用Sniffer技術(shù)或者網(wǎng)絡(luò)探針技術(shù)，捕獲經(jīng)過邊界路由器上的所有數(shù)據(jù)包；其次，是采用TCP/IP協(xié)議軟件的實(shí)現(xiàn)方式，處理數(shù)據(jù)包。具體處理方式為：①對有分片的數(shù)據(jù)包進(jìn)行IP層的重組，使之成為完整的IP數(shù)據(jù)包；②在TCP層進(jìn)行數(shù)據(jù)包的還原，使之還原為原始傳輸內(nèi)容的數(shù)據(jù)；③根據(jù)其具體的應(yīng)用層協(xié)議對數(shù)據(jù)進(jìn)行還原分析；最后，對已經(jīng)過應(yīng)用層協(xié)議還原的數(shù)據(jù)進(jìn)行特征關(guān)鍵字匹配，從而完成對信息內(nèi)容的監(jiān)測。
　　 2．網(wǎng)絡(luò)信息監(jiān)控系統(tǒng)的數(shù)據(jù)采集結(jié)構(gòu)
　　 網(wǎng)絡(luò)信息監(jiān)控系統(tǒng)的數(shù)據(jù)采集有兩種實(shí)現(xiàn)結(jié)構(gòu)：一種是在邊界路由器和內(nèi)網(wǎng)之間設(shè)置類似防火墻的監(jiān)控主機(jī)，對出入的所有數(shù)據(jù)包進(jìn)行檢查、攔截和阻斷；另一種方案是監(jiān)聽方式，即Sniffer方式，它采用支持探針技術(shù)的交換機(jī)的端口映射技術(shù)，使用監(jiān)聽方式，對原有網(wǎng)絡(luò)設(shè)置不做任何改動(dòng)。若監(jiān)控主機(jī)發(fā)生故障，無法正常工作時(shí)，它也不會(huì)影響網(wǎng)絡(luò)的正?；顒?dòng)。
　　 三、系統(tǒng)的實(shí)現(xiàn)
　　 1．系統(tǒng)功能的實(shí)現(xiàn)
　　 網(wǎng)絡(luò)信息監(jiān)控本質(zhì)上就是對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行監(jiān)查、對比，以實(shí)現(xiàn)監(jiān)控目的。通過對截獲的數(shù)據(jù)進(jìn)行分離，應(yīng)用還原技術(shù)對數(shù)據(jù)進(jìn)行對比，采用信息監(jiān)控策略和模式匹配算法就能夠?qū)崿F(xiàn)信息監(jiān)控。
　　 網(wǎng)絡(luò)底層信息監(jiān)聽可以通過兩種方法實(shí)現(xiàn)：一種是利用以太網(wǎng)絡(luò)的廣播特性，另一種是通過設(shè)置路由器的監(jiān)聽端口實(shí)現(xiàn)。
　　 （1）利用以太網(wǎng)絡(luò)的廣播特性進(jìn)行監(jiān)聽
　　 以太網(wǎng)數(shù)據(jù)傳輸是通過廣播實(shí)現(xiàn)的。但是在系統(tǒng)正常工作時(shí)，應(yīng)用程序只能接收到以本主機(jī)為目標(biāo)主機(jī)的數(shù)據(jù)包，其他數(shù)據(jù)包將被丟棄，不作任何處理。
　　 要監(jiān)聽到流經(jīng)網(wǎng)卡的、不屬于自己主機(jī)的數(shù)據(jù)，必須繞過系統(tǒng)正常工作的處理機(jī)制，直接訪問網(wǎng)絡(luò)底層。首先，將網(wǎng)卡工作模式置于混雜模式，使之可以接收目標(biāo)MAC地址的數(shù)據(jù)包；然后，直接訪問數(shù)據(jù)鏈路層，截獲相關(guān)數(shù)據(jù)，由應(yīng)用程序如IP層、TCP層協(xié)議對數(shù)據(jù)進(jìn)行過濾處理。這樣一來，就可以監(jiān)聽到流經(jīng)網(wǎng)卡的所有數(shù)據(jù)。
　　 （2）基于路由器的網(wǎng)絡(luò)底層信息監(jiān)聽技術(shù)
　　 在實(shí)際應(yīng)用中，存在許多非以太網(wǎng)接入的情況。因此，必須在路由器中設(shè)置監(jiān)聽端口，將流經(jīng)路由器的所有信息流量通過一個(gè)特定的監(jiān)聽端口輸出，從而實(shí)現(xiàn)信息的監(jiān)聽。所有的網(wǎng)絡(luò)信息數(shù)據(jù)包除按照正常情況轉(zhuǎn)發(fā)外，將同時(shí)轉(zhuǎn)發(fā)到監(jiān)聽端口，從而使得Sniffer可以監(jiān)聽到所有的網(wǎng)絡(luò)流量。
　　 2．TCP還原的實(shí)現(xiàn)
　　 TCP還原的實(shí)現(xiàn)方法和IP重組是類似的，如果接收到的數(shù)據(jù)包是屬于同一個(gè)TCP連接的，就要用一個(gè)排序樹，按照數(shù)據(jù)包的Sequence排序起來，然后只需要對這個(gè)排序樹進(jìn)行遍歷，就能夠?qū)崿F(xiàn)TCP的還原。對TCP的還原就是對iptree進(jìn)行遍歷的過程，按照sequence從小到大，把相應(yīng)的、屬于同一個(gè)TCP的IP數(shù)據(jù)包的內(nèi)容進(jìn)行還原。
　　
　　參考文獻(xiàn)：
　?。?］王軍華，秦本濤.一個(gè)基于簡單實(shí)驗(yàn)條件下郵件傳輸服務(wù)實(shí)驗(yàn)的設(shè)計(jì)［J］.計(jì)算機(jī)與現(xiàn)代化，2006，（8）.
　?。?］