首页 | 供应信息 | 求购信息  | 下载系统 | 技术资讯 | 企业信息 | 产品信息 | 论文信息 | 展会信息 | 在线工具
作者: 发布时间:2017-04-10 来源: 繁体版
  褚腾飞1,王建章2,许德森2,李东垣2,赵鹏2,王国相1,钱明1  (1. 北京邮电大学, 北京 100876; 2. 中华通信系统有限责任公司,北京 100070)  摘要:随着互联网的迅猛发展,单位内部用户的监管和网上行

  褚腾飞1,王建章2,许德森2,李东垣2,赵鹏2,王国相1,钱明1ATY自动化在线网

  (1. 北京邮电大学, 北京 100876; 2. 中华通信系统有限责任公司,北京 100070)ATY自动化在线网

  摘要:随着互联网的迅猛发展,单位内部用户的监管和网上行为责任追溯审计方法成为必需。文中根据局域网的特点,针对局域网网络行为审计问题,对相关技术进行了一定的研究和分析,提出了一种有效的基于TCP重组和快速多字符匹配的局域网行为审计方法,应用该方法可以更为高效地实现局域网中网络行为的审计,实际测试表明该方法具有更高的效率和可操作性。ATY自动化在线网

  关键词:局域网;行为审计;TCP重组;字符匹配ATY自动化在线网

  中图分类号:TP306+.3;TP309.2文献标识码:ADOI: 10.19358/j.issn.1674-7720.2017.05.023ATY自动化在线网

  引用格式:褚腾飞,王建章,许德森,等.一种面向局域网的网络行为审计方法的研究[J].微型机与应用,2017,36(5):76-79.ATY自动化在线网

0引言ATY自动化在线网

  随着互联网的迅猛发展,许多单位内部局域网都和互联网相连,互联网给人们工作、生活带来了极大的方便,同时也造成新的安全隐患。解决网络安全主要采取的技术手段一般有防火墙、入侵检测系统(IDS)[1]、加密应用等,它们对防止系统入侵[2]都有一定的效果,但在监控和处理网络内部用户访问外部网络、预防用户泄漏重要资料等方面却不尽如人意。审计[3]能够提供系统事件的记录,可更迅速和系统地识别问题,是网络事故处理的重要依据。近年来,上网行为审计系统已成为网络安全领域的研究重点之一,国内外相继提出了一些安全审计系统的模型[4],如通过修改Linux内核实现的基于主机的安全审计系统[5],以及利用防火墙日志实现的安全审计系统[6]等,其审计的重点也逐步从传统的本主机和系统调用过渡到网络的访问行为和网络中的各种数据,但相关研究尚处在探索阶段。ATY自动化在线网

1局域网审计系统架构ATY自动化在线网

  根据局域网的特点,一般情况下,局域网内的主机通过交换机再经由网关和路由器连接外部互联网。所以,本系统采用旁路的方式利用交换机镜像技术[7]将局域网内的数据映射到被审计主机的端口,同时采用JPCAP技术[8]设置审计主机网卡为混杂模式来获取通过网卡的所有数据。本系统通过对网络数据的采集、分析、识别[9],实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析[10]、评估及安全事件的准确定位。系统部署环境如图1。ATY自动化在线网

Image 001.jpgATY自动化在线网

  1.1系统体系ATY自动化在线网

  局域网审计系统由三层构成,分别为数据采集层、数据分析处理层以及应用展示层,该架构使得技术和业务有了良好的结合,IT基础结构复杂性低,整体软件开发、支持和维护成本较低,应用程序移植性良好,网络访问、管理简便。系统架构如图2。ATY自动化在线网

  ATY自动化在线网

Image 002.jpgATY自动化在线网

  数据采集层主要功能是基于JPCAP技术捕获流经审计主机网卡的数据,并根据被审计主机的规则配置过滤掉无用的数据包,为数据分析处理层提供可靠的数据源。ATY自动化在线网

  数据分析处理层的主要功能包括:TCP重组、协议解析、内容审计。由于局域网的特性,网卡获取到的TCP数据包有可能会出现重复包、序号错乱和丢包等情况,所以线程进行内容还原操作之前,还需要对TCP数据包进行重组,保证截获到的数据的有效性。TCP重组模块将重组成功的TCP链接放入缓存队列中,协议解析模块将缓存队列中的TCP链接取出并根据其端口号判断所属协议,根据相应的协议对数据包进行解析和内容还原。本系统主要针对邮件收发协议SMTP和POP以及HTTP协议进行解析。内容审计模块对协议解析后得到的文本内容进行分析,根据数据库中的敏感词汇进行查找和匹配并生成相应的告警信息。ATY自动化在线网

  应用展示层基于B/S结构,采用SSH框架实现了Web端的行为审计系统平台,该平台功能包括审计系统的各种配置、审计结果的展示、审计人员管理等。ATY自动化在线网

2关键算法ATY自动化在线网

  2.1TCP重组算法ATY自动化在线网

  TCP重组模块在整个系统中处于承上启下的位置,也是系统最重要的一环。捕获网络中的数据包有很多开源的工具包,例如Linux系统下的Libcap、Windows系统下的Winpcap[11]以及Java中间件JPCAP。但是,单单捕获数据包并不能保证数据的正确性。因为同一数据流中的数据包可能经过不同的网络路径到达目的地,造成数据包的不同时延、丢失、乱序等现象出现。因此,将从网络中间链路捕获来的数据包整合成有序的、不丢失的有序数据流的技术成为了很多安全系统研究的关键技术。ATY自动化在线网

  基于以上考虑,本文基于哈希表和TCP链接序列号的TCP数据重组算法[12],根据TCP链接的特点提出了一个高效的TCP算法,使得哈希映射的冲突尽可能的低,同时利用哈希表实现简单的特点,提高了TCP重组的效率。其基本思想是:对于一个捕获的数据包,需要根据一个哈希函数将其映射到哈希表中,同时根据哈希表中TCP链接数据流的接收序列号来判断该数据包是否合法。利用哈希表查找的高效性保证高速大流量TCP数据流重组,利用数据包的序列号保证数据包接收的正确性。TCP重组算法流程图如图3所示。


一种面向局域网的网络行为审计方法的研究
评论】【加入收藏夹】【 】【关闭
※ 相关信息
无相关信息
※ 其他信息
访问数: | 共有条评论
发表评论
用户名:
密码:
验证码: 看不清楚,点击刷新
匿名发表

 搜索新闻
[提交投稿]  [管理投稿]
 最新新闻
 热点新闻
数据加载中..

网站地图
Autooo.Net 版权所有
Copyright © 2007--2017 All rights reserved