網絡安全審計系統中FTP解析策略研究

閆 露 鄧浩江 陳 曉 葉曉舟

1(中國科學院聲學研究所國家網絡新媒體工程技術研究中心 北京 100190)2(中國科學院大學 北京 100039)

網絡安全審計系統中FTP解析策略研究

閆 露1,2鄧浩江1陳 曉1葉曉舟1

1(中國科學院聲學研究所國家網絡新媒體工程技術研究中心 北京 100190)2(中國科學院大學 北京 100039)

常見的防火墻、防病毒、入侵檢測等系統，對于防止外部非法入侵都有一定的作用，但對于防范內部人員對企業網等網絡的破壞卻效果甚微。網絡安全審計系統針對內部網絡進行監控,受到越來越廣泛的重視。FTP由于其簡單性與易用性，廣泛運用于企業網中。針對FTP協議控制流和實時數據流分離的特點，提出了基于數據流信息封裝傳遞的解析策略。該策略可實現FTP命令、響應的正確解析，獲取實時建立的數據流端口，關聯數據流信息，并實時產生審計日志。基于網絡處理器平臺實現了該策略，平穩階段系統每秒事務處理量大于3萬，吞吐率達到1 300 Mbps。

網絡安全審計系統 FTP解析 控制流 數據流

0 引 言

信息安全審計[1]主要是對與安全有關的活動的相關信息進行識別、記錄、存儲和分析；審計的記錄用于檢查網絡上發生了那些與安全活動有關的活動，誰(用戶)對這個活動負責，主要功能包括：安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。網絡安全審計系統主要針對內部網絡進行監控，實現信息安全審計功能[2]。在網絡安全審計系統中，協議解析用于識別用戶、行為、生成審計數據等，對信息安全審計功能的實現起著至關重要的作用。網絡上的協議成千上萬，對于不同的協議，解析策略也不盡相同[3]。

目前，網絡上大多數協議均在同一條TCP上連接傳輸命令與數據，FTP協議則不同，在不同的TCP連接上分開處理命令與數據[4]。 FTP[5-6]是File Transfer Protocol的英文簡稱，為客戶機/服務器系統，在網絡上通過FTP協議傳輸，FTP客戶端可以訪問FTP服務器的資源。FTP支持兩種工作模式[7]：standard(PORT模式，主動模式)，passive(PASV模式，被動模式)。在standard模式下，FTP客戶端首先和服務器的TCP 21端口建立連接，用以傳輸命令、響應，客戶端在需要進行數據傳輸時，發送PORT命令，該命令包含客戶端使用的數據連接端口。在傳輸數據時，服務器通過TCP 20端口與客戶端的數據端口連接；在passive模式下，建立控制連接與standard模式類似，但在需要進行數據傳輸時發送PASV命令，服務器收到該命令后，打開一個臨時端口(大于1 023小于65 535)偵聽，并且將該端口通知客戶端等待連接。客戶端收到通知后，連接FTP服務器此端口，以進行數據傳輸，具體采取哪種方式由客戶端決定。FTP的這兩種模式均是針對IPV4環境，當IPV6出現后，協議對模式進行了擴展，出現了EPRT、EPSV模式以支持更長的網絡地址，擴展后的與原模式類似，本文不做詳細討論。雖然FTP存在明文信息傳輸等缺點，但由于其簡單性和實用性，在網絡應用中還會長期應用[8]。

由于FTP將控制信息與數據分開處理的特性，網絡安全審計系統中FTP解析需在正確解析控制流命令、響應的基礎上，針對數據流需再解決兩個問題：(1) FTP數據流的端口不固定，如何判斷所經過的數據包哪些為FTP數據流；(2) FTP數據連接上只傳輸數據，如文件內容、目錄列表內容等，而不包含文件名等信息，如何獲得文件名等信息以生成完整的審計數據。現有的FTP安全審計，通過引入代理來實現[9]，FTP代理模塊分別與客戶端、服務端建立兩條連接，完成FTP會話維護、分析審計等功能。該方法只針對FTP審計任務，但若當系統中需要審計其他協議時，需增加其他協議代理模塊，而不同代理工作方式、支持功能都可能不同，擴展性不好,并且不是所有的應用軟件都可以使用代理，例如outlook軟件本身并不支持代理。其他常規FTP解析方法[10-11]僅分析控制流，并未將數據流端所傳送的文件名等信息與相應數據流相關聯，那么在解析數據流時，并不知道文件名、哪個用戶進行的操作等信息，審計文件日志不完整。

本文針對FTP協議的特性與網絡安全審計的需求，提出網絡安全審計系統中FTP協議的解析策略，該策略可以正確解析FTP協議，獲取并傳遞數據流傳輸端口與數據流信息，快速生成審計數據等。

1 網絡安全審計系統

為實現信息安全審計的功能，我們設計的網絡安全審計系統HL-Audit包括數據采集、配置管理、審計日志數據中心等子系統，其中數據采集子系統的框架如圖1所示。

圖1 HL-Audit數據采集子系統

由于通用服務器采用中斷方式處理網絡流量，性能受限，因此HL-Audit數據采集子系統采用網絡處理器完成數據采集功能，具有功耗低、延遲小、采集性能高等優勢。其工作流程如下：當系統捕獲到數據包后，首先進行對數據包進行IP重組、隧道檢測、TCP重組，保證提交到上層的數據包嚴格有序；區分不同協議后，提交相應高層協議解析模塊；高層協議解析模塊，解析高層協議，識別用戶登錄、命令、響應等消息，調用命令黑名單模塊判斷是否允許命令執行，并生成審計數據發送至數據中心保存。

2 FTP解析策略

FTP解析屬于HL-Audit網絡安全審計系統數據采集子系統高層協議解析模塊，分為控制流解析和數據流解析兩部分。控制流解析在正確識別用戶命令、響應的基礎上，將解析到的數據流端口、文件名等數據流信息進行封裝傳遞，封裝的信息用于底層進行FTP數據流的識別以及FTP數據流解析，以達到對數據流傳輸的監控審計。如圖2所示。

圖2 FTP解析策略

2.1 FTP控制流解析

控制流解析實現FTP控制連接上數據解析，識別用戶登錄、命令、響應等消息，當產生新的數據連接時，將解析到的數據流信息傳遞；調用命令黑名單模塊，判斷是否需要阻斷命令或會話，實現審計自動響應；實時產生審計數據，以日志的形式通過網絡會話模塊發送至數據中心，日志內容包括會話四元組信息、源mac、目的mac、登錄用戶名稱、登錄時間、登出時間；操作日志的內容包括操作命令、返回數據、操作開始時間、操作結束時間等。

2.1.1 FTP數據包處理

由于底層經過TCP重組后提交的數據包僅保證有序，根據TCP/IP協議的特性[12-13]，TCP數據包不作為應用層消息的邊界，一個完備的解析方案不能假設一個TCP數據包即是一個完整的應用層FTP消息，因此需要先經過數據包處理，提取出完整的單條FTP消息后，再進行接下來的解析。

數據包處理算法如下：

Algorithm1 FTP Packet Process

1: start ← packet

2: uproLen ← len(packet)

3: while uproLen > 0 do

4: msgend ← find(msgendMark; start)

5: if msgend is true then

6: msg ← cache + (msgend - start)

7: process msg

8: clear cache

9: uprolen ← uprolen - len(msgend - start)

10: start ← msgend + 1

11: else

12: cache ← cache + start

13: uproLen ← 0

14: end if

15: end while

我們以圖3為例來說明算法的執行過程。首先客戶端至服務端方向cache中無緩存數據，收到客戶端發向服務端的第一個數據包后，在數據包中查找到命令結束標志“ ”,提取第一條完整消息“AA bbbb ”進行解析；繼續查找命令結束標志“ ”，提取第二條消息“CC dddd ”進行解析；繼續無命令結束標志，則將不完整消息“EE ff”復制到客戶端至服務端方向cache中緩存，該數據包處理完畢；經過一段時間間隔后，收到客戶端發向服務端的第二個數據包“ff ”,在數據包中查找到命令結束標志“ ”,此時將cache中數據與第二個數據包中數據合成完整的第三條消息“EE ffff ”,并將客戶端至服務端發向cache中數據清空，至此第二個數據包處理完畢。

圖3 數據包處理算法執行實例

該數據包處理算法，直接在新到數據包中查找結束標志，若相應方向存在緩存數據，與緩存數據進行拼接組成完整消息，不存在緩存數據，則直接提取完整消息，并將最后不完整的消息進行緩存以等待后續數據到來，而不需要將新到數據包全部進行緩存再進行提取完整消息，有效節約緩存空間，簡單高效。

2.1.2 FTP命令/響應解析

在數據包處理算法提取出完整消息后，首先根據系統需求，調用命令黑名單模塊，必要時阻斷命令或會話。該操作可實時監控用戶不合理行為，及時阻止，而不至于產生不可逆后果后再追查審計日志追究責任。對于允許執行的命令，進行接下來的解析工作。

FTP命令解析算法如下：

Algorithm2 FTP Comamnd Parse

1: command ← getcommand(msg)

2: if command is USER then

3: get the user name

4: else if command is PASS then

5: get the password

6: else if command is PORT then

7: get the standard mode client IP and port for data flow

8: else if command is LIST or NIST or RETR or STOR or STOU or APPE then

9: process the infomation of data flow

10: end if

11: generate audit logs

FTP響應解析算法如下：

Algorithm3 FTP Response Parse

1: code ← getcode(msg)

2: count ← total number of incorrect login

3: if code is 230 then

4: set the login successful state

5: else if code is 530 then

6: set the login incorrect state

7: count ←count + 1

8: else if code is 227 then

9: get the passive mode server IP and port for data flow

10: end if

11: generate audit logs

FTP命令眾多，解析過程中可選擇性地關注特定命令，如USER，通過該命令獲取登錄用戶名。對于暫不關注的命令，只需將命令響應生成審計日志，傳送至數據中心即可。

2.1.3 FTP數據流信息處理

FTP控制流解析，在正確解析命令、響應時獲得數據流信息，為解決底層FTP數據流識別問題以及數據流生成完整文件審計數據問題，還需將數據流信息傳遞。數據流信息以七元組(control_infoP,data_mode,s_ip,s_port,c_ip,c_port,file_name)來表示，稱為DFI(Date Flow Information)，其中control_infoP為指向控制流信息指針，data_mode為數據流傳輸模式，s_ip為數據流服務端ip，s_port為數據流服務端端口，c_ip為數據流客戶端ip，c_port為數據流客戶端端口， file_name為傳輸的文件名或文件目錄名，同時定義DFIP為指向DFI的指針。

當FTP會話下只有一個數據流時，控制流收到引起數據流傳輸的指令后，創建DFI，當未知TCP流到達時,底層模塊通過與該DFI進行匹配來識別FTP數據流，分為兩種情況：(1) 若DFI中數據流傳輸模式為standard模式，則底層模塊需將數據流的客戶端IP、客戶端端口、服務端IP、服務端端口完整的四元組信息與已有DFI鏈表中每一項進行匹配；(2) 若DFI中數據流傳輸模式為passive模式，該模式下，我們并不能在控制流解析到數據流客戶端IP與端口，FTP協議并不要求客戶端數據流IP與控制流IP一致，這會帶來安全隱患[14]，在網絡安全審計系統中，我們不支持數據流IP與控制流客戶端IP不一致的情況，因此需將客戶端IP、服務端IP、服務端端口與已有DFI進行匹配。若匹配，則該TCP流為FTP數據流，將DFIP傳遞給FTP數據流解析，若不匹配，則該TCP流不為FTP數據流，進行其他處理。

當FTP會話下出現多個數據流時[15]，單個DFI顯然不能對所有數據流進行區分，因此需要為每個數據流建立相應DFI，所有的DFI以鏈表形式保存。當未知TCP流到達時，底層模塊首先需判斷該連接可能為FTP數據流的哪種數據連接模式，若發起TCP連接的端口為20，則此時為FTP服務端主動發起連接，為standard模式，若發起TCP連接的端口不為20，則此時可能為FTP客戶端發起連接，為passive模式。判斷出模式后，將該TCP流信息與所有DFI項進行匹配，匹配方法與單數據流匹配方法一致。若發現匹配項，則該數據流為FTP數據流，并將相應DFIP傳遞給FTP數據流解析，若未發現匹配項，則該數據流不為FTP數據流，進行其他處理。DFI數據結構及DFIP傳遞,如圖4所示。

圖4 DFI數據結構及DFIP傳遞

2.2 FTP數據流解析

FTP數據流解析模塊通過底層傳遞的DFIP，可直接獲得FTP控制流、文件名等信息。正常情況下，FTP控制連接會存在于會話整個生命周期，但存在控制連接先于數據連接關閉的異常情況。當控制連接先關閉DFI被釋放時，若數據流還未來得及關閉TCP連接，此時FTP數據流解析試圖通過DFI獲取信息則會發生錯誤，且無法保證生成DFI加入鏈表后，相應數據連接一定會建立成功。因此為保證DFI內存管理的正確性，在FTP數據流初始化時，通過底層傳遞的DFIP讀取出DFI數據流信息并保存，而不在整個數據流傳輸過程中都依賴底層傳遞的DFIP。所有DFI占用的內存空間，在控制流斷開連接時統一釋放。

通過DFIP的傳遞，數據流得到控制流、文件名等信息，加之數據流所傳輸數據生成完整文件審計數據，以文件日志形式發送至數據中心。

3 實驗測試及分析

基于Caviun OCTEON CN6645多核網絡處理器[16]，我們實現了網絡安全審計系統HL-Audit，并在一個處理器核心上運行FTP解析策略。本文利用IXIA測試儀模擬FTP客戶端與服務端，在上述嵌入式平臺下針對系統每秒事物處理量與吞吐率進行了測試。圖5為系統測試框圖。

圖5 系統測試框圖

3.1 每秒事務處理量測試

每秒系統能夠處理的事務量，是衡量系統處理能力的重要指標，實驗針對客戶端下載64 KB文件時，系統的每秒事務處理量進行了測試，測試結果顯示，平穩階段系統每秒事務處理量大于3萬，測試結果如圖6所示。

圖6 系統每秒事務處理量測試結果

3.2 吞吐率測試

在存在文件傳輸的情況下，系統吞吐率是很重要的一個指標，實驗針對常規方法只解析FTP控制流與本文策略通過DFIP傳遞解析控制流與數據流兩種情況進行了系統吞吐率測試，測試過程中客戶端下載服務端1 GB的文件，測試結果如圖7所示。

圖7 系統吞吐率測試結果

在常規方法只解析數據流沒有DFIP傳遞的情況下，底層模塊無法識別FTP數據流，故FTP數據流直接通過系統，系統也無法生成實時審計日志；而通過本文策略，當經過DFIP的傳遞后，FTP數據流會經過底層模塊識別匹配，并提交FTP協議解析模塊進行解析，由FTP解析模塊實時產生文件日志，而此時系統的吞吐率只是略低于直接通過的情況，FTP解析策略工作效果較好，DFIP的傳遞并沒有給系統造成過大負擔。

4 結 語

本文提出了網絡安全審計系統中FTP協議解析策略。該策略可以正確解析FTP協議，識別用戶名、密碼；在控制流端獲取FTP數據流信息，解決了底層模塊FTP數據流的識別問題；在控制流端獲取FTP數據流文件名等信息，通過DFIP的傳遞，實時關聯數據流信息；快速生成審計日志。通過分析日志，可確定哪個用戶在什么時間進行了哪些操作，實現安全審計。下一步的目標是利用多核平臺的特性，實現性能的優化。

本文在解決網絡安全審計系統中FTP協議解析問題的同時，也為其他多TCP連接的協議解析提供參考。

[1] 通用準則發起組織.ISO/IEC 15408 信息技術安全性評估通用準則2.0版[S].1998.

[2] 張濤,余煬,李弋.Linux服務器安全審計系統的設計與實現[J].計算機應用與軟件,2014,31(5):17-22,75.

[3] 陳泉清.基于協議解析的網絡安全審計系統的設計與實現[D].成都:電子科技大學,2014.

[4] 江浩,朱巧明,錢培德.一種高效的FTP流量統計方法及應用[J].計算機工程與科學,2007,29(1):30-32,69.

[5] 蔡勇.FTP服務器技術研究及實現[D].成都:電子科技大學,2005.

[6] Rani L,Narula P,Panchal N.Ftp-the file transfer protocol[J].International Journal of Research,2014,1(9):1029-1031.

[7] 孟欣.基于FTP的文件高效上傳方法的研究與實現[D].廣州:華南理工大學,2014.

[8] 梁秀花.淺談FTP協議在網絡傳輸中的應用[J].計算機光盤軟件與應用,2014,17(14):137-138.

[9] Li W,Hu X,Jia Y,et al.Proxy-based FTP secure audit technology[C]//Software Engineering and Service Science (ICSESS),2014 5th IEEE International Conference on.IEEE,2014:667-670.

[10] 史軼.基于應用協議分析的網絡信息監控系統[D].哈爾濱:哈爾濱工程大學,2008.

[11] 李軍,倪宏,陳君,等.一種應用層協議解析加速算法[J].四川大學學報(工程科學版),2014,46(4):87-93.

[12] 劉靜菠,劉嘉勇,唐龍.基于應用層特征的TCP數據流重組方法研究[J].信息安全與通信保密,2014(5):111-113.

[13] 呂冠橋,柳寒冰,鄧曉紅.基于TCP協議的網絡擁塞控制算法設計[J].軟件導刊,2014,13(1):56-59.

[14] 黃世權.FTP協議分析和安全研究[J].微計算機信息,2008,24(2-3):93-94,264.

[15] 蔡艷麗.基于FTP協議網絡流量模擬的設計與實現[J].海軍航空工程學院學報,2014,29(3):221-224.

[16] Cavium Inc.OCTEON II CN66XX Multi-Core MIP S64 Processors[OL].(2015-11-17).[2016-03-28].http://www.cavium.com/OCTEON-II_CN66XX.html.

RESEARCH ON FTP PARSING STRATEGY IN NETWORK SECURITY AUDIT SYSTEM

Yan Lu1,2Deng Haojiang1Chen Xiao1Ye Xiaozhou1

1(NationalNetworkNewMediaEngineeringResearchCenter,InstituteofAcoustics,ChineseAcademyofSciences,Beijing100190,China)2(UniversityofChineseAcademyofSciences,Beijing100039,China)

Common firewall, anti-virus, intrusion detection and other systems, for the prevention of external illegal invasion have a certain role, but for the prevention of internal staff on the enterprise network and other network damage has little effect. Network security audit system for internal network monitoring, has been more and more attention. Because of its simplicity and ease of use, FTP is widely used in enterprise networks. Aiming at the characteristics of FTP protocol control flow and real-time data flow separation, a parsing strategy based on packaging and transmitting the data flow information is proposed, which can realize the correct parsing of FTP command and response, obtain real-time data flow port, associate data flow information, and generate audit log in real time. The strategy is implemented based on the network processor platform. In the steady phase, the system transaction per second is more than 30 000, and the throughput reaches 1 300 Mbps.

Network security audit system FTP parsing Control flow Data flow

2016-04-06。中國科學院戰略性先導科技專項課題(XDA06010302)。閆露，博士生，主研領域：寬帶通信和信息安全。鄧浩江，研究員。陳曉，研究員。葉曉舟，研究員。

TP3

A

10.3969/j.issn.1000-386x.2017.05.053