探析局域網(wǎng)安全行為監(jiān)控系統(tǒng)的設(shè)計(jì)

?

探析局域網(wǎng)安全行為監(jiān)控系統(tǒng)的設(shè)計(jì)

黃一茗

（中國(guó)人民銀行九江中心支行，江西九江，332000）

0　引言

中國(guó)互聯(lián)網(wǎng)信息中心（CINICC）在2012年1月發(fā)布了第29次互聯(lián)網(wǎng)發(fā)展報(bào)告，在報(bào)告中我們可以清晰看到，在2011年底，中國(guó)網(wǎng)民已經(jīng)突破5億，在2015年發(fā)布了第32次互聯(lián)網(wǎng)發(fā)展報(bào)告，截止到2014年底，網(wǎng)民的數(shù)量突破到8億人，網(wǎng)站規(guī)模大大增多，高達(dá)553.2萬(wàn)，同期增長(zhǎng)了15%。

伴隨信息化的飛速發(fā)展，電腦技術(shù)的不斷普及，地球悄然之間成為了地球村，連接距離的紐帶就是計(jì)算機(jī)網(wǎng)絡(luò)。隨著計(jì)算機(jī)技術(shù)的不斷提高，單位往往會(huì)組建屬于單位自身內(nèi)部的局域網(wǎng)，防止信息泄露，同時(shí)復(fù)雜的網(wǎng)絡(luò)給予我們廣大網(wǎng)民各種各種的便利，首先可以?shī)蕵?lè)休閑；其次可以幫助人們學(xué)習(xí)和工作；第三方便人們進(jìn)行交流以及滿足各種日常需求，權(quán)威部門調(diào)研發(fā)現(xiàn)中國(guó)人在網(wǎng)絡(luò)上花費(fèi)的時(shí)間比其他國(guó)家的人每周多出7.6個(gè)小時(shí)，這樣往往容易導(dǎo)致病毒的攻擊，因此只有不斷網(wǎng)絡(luò)的發(fā)展和安全行為監(jiān)控的不斷創(chuàng)新才能保證信息的不泄露和局域網(wǎng)的高速發(fā)展。

圖1　活動(dòng)主機(jī)發(fā)現(xiàn)

1　局域網(wǎng)相關(guān)理論技術(shù)研究分析

1.1監(jiān)控系統(tǒng)實(shí)現(xiàn)前提

對(duì)于如何對(duì)局域網(wǎng)進(jìn)行有效的行為監(jiān)控主要在于對(duì)主機(jī)的監(jiān)控，一般利用適配器以及主機(jī)信息列表來(lái)監(jiān)控，借助于網(wǎng)絡(luò)數(shù)據(jù)包的捕獲對(duì)數(shù)據(jù)進(jìn)行系統(tǒng)有效的分析，依據(jù)分析結(jié)果來(lái)進(jìn)行不同模塊的處理。

1.1.1獲取網(wǎng)絡(luò)適配器信息

Winpcap是在Win32平臺(tái)上建立起來(lái)用來(lái)捕獲數(shù)據(jù)包并系統(tǒng)分析和檢測(cè)的數(shù)據(jù)庫(kù)，Winpcap具有捕獲、過(guò)濾、發(fā)出和回收四個(gè)部分組成，這些功能能夠?qū)崿F(xiàn)的基礎(chǔ)就是Win32內(nèi)核中的驅(qū)動(dòng)程序通過(guò)DLL來(lái)實(shí)現(xiàn)，從而方便及時(shí)地獲得適配器上面的信息，Winpcap提供了實(shí)現(xiàn)函數(shù)的功能，形成一個(gè)鏈表。

1.1.2獲取活動(dòng)主機(jī)列表

如圖1所示，主要展示了活動(dòng)主題的具體發(fā)現(xiàn)操作流程，通過(guò)ARP響應(yīng)包來(lái)評(píng)判攻擊者是否發(fā)現(xiàn)主機(jī)與否。

1.1.3局域網(wǎng)監(jiān)控原理

網(wǎng)絡(luò)行為監(jiān)控能幫助我們捕獲數(shù)據(jù)包信息，通過(guò)對(duì)數(shù)據(jù)的系統(tǒng)詳細(xì)分析，對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步的過(guò)濾并轉(zhuǎn)發(fā)。以此來(lái)進(jìn)行及時(shí)的數(shù)據(jù)傳輸，本文主要通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)方式對(duì)ARP的欺騙模式進(jìn)行網(wǎng)絡(luò)監(jiān)控。

所謂的ARP 欺騙原理：，就是運(yùn)用TCP/IP 協(xié)議的主機(jī)來(lái)實(shí)現(xiàn)IP和MAC之間的一一對(duì)應(yīng)的映射關(guān)系，當(dāng)不能實(shí)現(xiàn)映射關(guān)系時(shí)，偽裝的數(shù)據(jù)包就會(huì)對(duì)主機(jī)進(jìn)行攻擊，最終幫助攻擊者獲取傳輸中的所有數(shù)據(jù)。

1.1.4網(wǎng)絡(luò)協(xié)議分析

TCP/IP 有很多形式，一般的網(wǎng)絡(luò)協(xié)議按照層次來(lái)進(jìn)行一定程度的開(kāi)發(fā)，并且每一次其所具有的完全不同的通訊功能，因此一般把TCP/IP 分為鏈路、網(wǎng)絡(luò)、運(yùn)輸和應(yīng)用四個(gè)層次，其所負(fù)責(zé)的功能各不相同，鏈路主要負(fù)責(zé)物理接口方面；網(wǎng)絡(luò)主要負(fù)責(zé)分組活動(dòng)；運(yùn)輸主要負(fù)責(zé)端到端的通信；應(yīng)用主要負(fù)責(zé)特定程序的應(yīng)用。

1.2垃圾郵件識(shí)別與過(guò)濾

1.2.1基于 IP 地址的過(guò)濾算法

在網(wǎng)絡(luò)中常用于過(guò)濾IP地址的處理方法主要是依據(jù)郵件發(fā)送者的服務(wù)器地址來(lái)確定是否是屬于垃圾郵件，并提醒使用者進(jìn)行數(shù)據(jù)清理，如果發(fā)現(xiàn)大量的郵件來(lái)自同一個(gè)IP地址，那么則需要過(guò)濾掉這個(gè)IP地址，從而達(dá)到防御的目的。

圖2　TCP/IP 協(xié)議族中不同層次的協(xié)議

1.2.2基于郵件特定項(xiàng)過(guò)濾算法

運(yùn)用特定項(xiàng)進(jìn)行過(guò)濾在當(dāng)前是一種比較科學(xué)和成熟的技術(shù)，數(shù)據(jù)庫(kù)并不是單純從郵件的發(fā)布IP來(lái)封殺過(guò)濾，而是有一套程序，一般首先要采用的就是確定郵箱中的郵件是否合法，合法的確定為白名單，不合法的確定為黑名單，從而對(duì)于不匹配的網(wǎng)絡(luò)郵件則堅(jiān)決過(guò)濾，但是事先需要做好兩份數(shù)據(jù)表，并且在運(yùn)行過(guò)程中要不斷更新和完善。

1.2.3基于貝葉斯算法的內(nèi)容過(guò)濾技術(shù)

通過(guò)貝葉斯算法來(lái)進(jìn)行郵件內(nèi)容的過(guò)濾，首先需要進(jìn)行大量的數(shù)據(jù)推理作為其基礎(chǔ)，因此這種方法得到大家的一致認(rèn)可，并且廣泛得到應(yīng)用，這種算法只有在計(jì)算機(jī)時(shí)代才能真正得到足夠的重視。通常情況下，人們發(fā)現(xiàn)，很多統(tǒng)計(jì)量是事先不能進(jìn)行有效的判定，此時(shí)運(yùn)用貝葉斯算法能很大程度上處理大量不需要的數(shù)據(jù)信息，得出對(duì)自己有效的數(shù)據(jù)信息。

貝葉斯算法的過(guò)濾有其獨(dú)特之處，主要運(yùn)用概率方法來(lái)對(duì)垃圾郵箱進(jìn)行后驗(yàn)概率，這項(xiàng)功能需呀的前提就是需要大量的正常和非正常兩者之間的一次對(duì)決。尤其是貝葉斯算法對(duì)于條件概率更有優(yōu)勢(shì)，優(yōu)點(diǎn)更加凸顯。

3　系統(tǒng)總體框架設(shè)計(jì)

3.1系統(tǒng)總體設(shè)計(jì)

3.1.1系統(tǒng)目標(biāo)

系統(tǒng)目標(biāo)包括五個(gè)方面，分別是功能全面性、易用性、安全性、可靠和穩(wěn)定性、可擴(kuò)展性。

（1）功能全面性

系統(tǒng)初步實(shí)現(xiàn)了對(duì)網(wǎng)頁(yè)訪問(wèn)、垃圾郵箱、異常流量三個(gè)方面的控制，包含的功能十分齊全，運(yùn)用價(jià)值更高，基本上解決了局域網(wǎng)安全和管理的絕大部分問(wèn)題。

表1　垃圾郵件集名單

表2　正常郵件集名單

（2）易用性

系統(tǒng)本身所面對(duì)的客戶群是普通用戶，這是完全為普通用戶開(kāi)發(fā)的，在計(jì)算機(jī)應(yīng)用能力上有所欠缺，雖然操作簡(jiǎn)單，功能簡(jiǎn)便易懂，不需要再多安裝多余的，使用價(jià)值不高的客戶端和服務(wù)端。

（3）安全性

系統(tǒng)要求監(jiān)控過(guò)程不能影響局域網(wǎng)正常運(yùn)轉(zhuǎn)，能運(yùn)用防火墻和殺毒軟件兩種方法來(lái)抵御病毒入侵。本系統(tǒng)的管理局域網(wǎng)對(duì)于安全性的要求特別高，保持高安全性，是在最初的開(kāi)發(fā)設(shè)計(jì)過(guò)程中所必須面臨的重大課題。

（4）可靠性和健壯性

局域網(wǎng)可以長(zhǎng)期不間斷的安全工作，并且對(duì)于局域網(wǎng)本身具有很強(qiáng)的存儲(chǔ)能力，能應(yīng)對(duì)今后不斷增加的數(shù)據(jù)流。

（5）可擴(kuò)展性

每一個(gè)系統(tǒng)本身是一個(gè)獨(dú)立的整體。局域網(wǎng)要求接口必須是獨(dú)立的，只有維持好的銜接性，才能最終在后期擴(kuò)展中充分利用其所具有的功能，方便我們今后的工作。

3.2系統(tǒng)總體框圖

圖3　系統(tǒng)總體框架圖

安全行為監(jiān)控系統(tǒng)總體分為七大部分：主機(jī)網(wǎng)絡(luò)適配器信息獲取，數(shù)據(jù)包捕獲，數(shù)據(jù)包協(xié)議分析，ARP 欺騙，網(wǎng)絡(luò)活動(dòng)主機(jī)發(fā)現(xiàn)，數(shù)據(jù)庫(kù)訪問(wèn)以及安全行為監(jiān)控模塊。

但是七個(gè)部分之間的關(guān)系存在一定的銜接性，并且具有不同的層次上，具有良好的互補(bǔ)性。因?yàn)榭刂浦鳈C(jī)就可實(shí)現(xiàn)對(duì)被控主機(jī)數(shù)據(jù)包的提取和分析。

3.3數(shù)據(jù)庫(kù)表設(shè)計(jì)

3.3.1垃圾郵件過(guò)濾特征項(xiàng)表（表1）

3.3.2正常郵件特征項(xiàng)表（表2）

3.3.3網(wǎng)卡信息表（表3）

參考文獻(xiàn)

[1] Thomas M.Chen and Victoria Wang.Web Filtering and Censoring.IEEE Computer Society,0018-9162, 2010.

[2] Chunying Kang.DOM-based Web Pages to Determine theStructure of the Similarity Algorithm.Third International Symposium on Intelligent Information Technology Application,2009.

[3] Masahiro Uemura,Toshihiro Tabata.Design and Evaluation of a Bayesian-filter-based Image Spam Filtering Method.International Conferece on Information Security and Assurance.ISA 2008.

[4] 周鴻.基于WEB的校園網(wǎng)運(yùn)行監(jiān)控平臺(tái)設(shè)計(jì)與實(shí)現(xiàn):[D].西南交通大學(xué), 2007.

[5] 田李.面向網(wǎng)絡(luò)安全監(jiān)控的數(shù)據(jù)流關(guān)鍵技術(shù)研究:[D].國(guó)防科技大學(xué), 2008.

[6] 張衛(wèi)華.網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn):[D].電子科技大學(xué), 2010.

[7] 鄒雄杰.基于Winpcap的局域網(wǎng)監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn): [D].西安理工大學(xué), 2010.

[8] 李中原.基于向量空間模型的網(wǎng)頁(yè)過(guò)濾研究: [D].北京化工大學(xué),2010.

[9] 劉娟、呂建敏、杜海燕.基于DSP和局域網(wǎng)的醫(yī)療護(hù)理監(jiān)控系統(tǒng)的設(shè)計(jì)：[J].電子測(cè)試，2014（10）

[10] 李士召、張麗、吳明.供電企業(yè)局域網(wǎng)安全管理與優(yōu)化分析：[J].通訊世界，2015（2）

黃一茗（1989—），女，漢族，江西省撫州市人，學(xué)士，研究方向：計(jì)算機(jī)科學(xué)與技術(shù)。

表3　網(wǎng)卡信息表

摘要：信息化建設(shè)已經(jīng)成為當(dāng)前社會(huì)發(fā)展的重中之重，同時(shí)也是日常工作中不可或缺的一部分。伴隨信息化的快速發(fā)展，局域網(wǎng)成為其重要的組成部分，給予廣大人們提供便利的同時(shí)，信息化安全問(wèn)題和管理問(wèn)題成為人們關(guān)心的焦點(diǎn)，因此需要我們對(duì)局域網(wǎng)中的各種風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)控，并及時(shí)進(jìn)行調(diào)整，保證局域網(wǎng)健康有序運(yùn)行。本文主要從局域網(wǎng)的安全和管理兩個(gè)方面來(lái)進(jìn)行探討，尋找問(wèn)題的根源，以便能找出并設(shè)計(jì)出局域網(wǎng)安全行為的監(jiān)控系統(tǒng)，提出自己的建議和意見(jiàn)，希望對(duì)于后續(xù)研究相關(guān)問(wèn)題的專家學(xué)者有所幫助。

關(guān)鍵詞：局域網(wǎng)；安全行為；監(jiān)控系統(tǒng)；設(shè)計(jì)；行為監(jiān)控

The design of monitor system for LAN security behavior

Huang Yiming

（The people's Bank of Jiujiang Center branch Jiangxi Jiujiang Chinese，332000)

Abstract：Information construction has become a priority among priorities of the social development,at the same time,and it is also an integral part of daily work.With the rapid development of information technology,network has become an important part of it,to provide convenience to the majority of people, information security and management issues become the focus of concern,so we need to conduct real-time monitoring of the various risks in the LAN,and adjust in time,to ensure the healthy and orderly operation of lan. This article mainly from the two aspects of LAN security and management were discussed,find the source of the problem,in order to find out and design a monitoring system for LAN security behavior,put forward their suggestions and opinions,hope that the experts for the issues related to the follow-up study help.

Keywords：LAN security behavior monitoring and control system design

作者簡(jiǎn)介