2017-04-10 16:45:14

  褚騰飛1,王建章2,許德森2,李東垣2,趙鵬2,王國相1,錢明1

  (1. 北京郵電大學, 北京 100876; 2. 中華通信係統有限責任公司,北京 100070)

  摘要:隨著互聯網的迅猛發展,單位內部用戶的監管和網上行為責任追溯審計方法成為必需。文中根據局域網的特點,針對局域網網絡行為審計問題,對相關技術進行了一定的研究和分析,提出了一種有效的基於TCP重組和快速多字符匹配的局域網行為審計方法,應用該方法可以更為高效地實現局域網中網絡行為的審計,實際測試表明該方法具有更高的效率和可操作性。

  關鍵詞:局域網;行為審計;TCP重組;字符匹配

  中圖分類號:TP306+.3;TP309.2文獻標識碼:ADOI: 10.19358/j.issn.1674-7720.2017.05.023

  引用格式:褚騰飛,王建章,許德森,等.一種麵向局域網的網絡行為審計方法的研究[J].微型機與應用,2017,36(5):76-79.

0引言

  隨著互聯網的迅猛發展,許多單位內部局域網都和互聯網相連,互聯網給人們工作、生活帶來了極大的方便,同時也造成新的安全隱患。解決網絡安全主要采取的技術手段一般有防火牆、入侵檢測係統(IDS)[1]、加密應用等,它們對防止係統入侵[2]都有一定的效果,但在監控和處理網絡內部用戶訪問外部網絡、預防用戶泄漏重要資料等方麵卻不盡如人意。審計[3]能夠提供係統事件的記錄,可更迅速和係統地識別問題,是網絡事故處理的重要依據。近年來,上網行為審計係統已成為網絡安全領域的研究重點之一,國內外相繼提出了一些安全審計係統的模型[4],如通過修改Linux內核實現的基於主機的安全審計係統[5],以及利用防火牆日誌實現的安全審計係統[6]等,其審計的重點也逐步從傳統的本主機和係統調用過渡到網絡的訪問行為和網絡中的各種數據,但相關研究尚處在探索階段。

1局域網審計係統架構

  根據局域網的特點,一般情況下,局域網內的主機通過交換機再經由網關和路由器連接外部互聯網。所以,本係統采用旁路的方式利用交換機鏡像技術[7]將局域網內的數據映射到被審計主機的端口,同時采用JPCAP技術[8]設置審計主機網卡為混雜模式來獲取通過網卡的所有數據。本係統通過對網絡數據的采集、分析、識別[9],實時動態監測通信內容、網絡行為和網絡流量,發現和捕獲各種敏感信息、違規行為,實時報警響應,全麵記錄網絡係統中的各種會話和事件,實現對網絡信息的智能關聯分析[10]、評估及安全事件的準確定位。係統部署環境如圖1。

Image 001.jpg

  1.1係統體係

  局域網審計係統由三層構成,分別為數據采集層、數據分析處理層以及應用展示層,該架構使得技術和業務有了良好的結合,IT基礎結構複雜性低,整體軟件開發、支持和維護成本較低,應用程序移植性良好,網絡訪問、管理簡便。係統架構如圖2。

  

Image 002.jpg

  數據采集層主要功能是基於JPCAP技術捕獲流經審計主機網卡的數據,並根據被審計主機的規則配置過濾掉無用的數據包,為數據分析處理層提供可靠的數據源。

  數據分析處理層的主要功能包括:TCP重組、協議解析、內容審計。由於局域網的特性,網卡獲取到的TCP數據包有可能會出現重複包、序號錯亂和丟包等情況,所以線程進行內容還原操作之前,還需要對TCP數據包進行重組,保證截獲到的數據的有效性。TCP重組模塊將重組成功的TCP鏈接放入緩存隊列中,協議解析模塊將緩存隊列中的TCP鏈接取出並根據其端口號判斷所屬協議,根據相應的協議對數據包進行解析和內容還原。本係統主要針對郵件收發協議SMTP和POP以及HTTP協議進行解析。內容審計模塊對協議解析後得到的文本內容進行分析,根據數據庫中的敏感詞彙進行查找和匹配並生成相應的告警信息。

  應用展示層基於B/S結構,采用SSH框架實現了Web端的行為審計係統平台,該平台功能包括審計係統的各種配置、審計結果的展示、審計人員管理等。

2關鍵算法

  2.1TCP重組算法

  TCP重組模塊在整個係統中處於承上啟下的位置,也是係統最重要的一環。捕獲網絡中的數據包有很多開源的工具包,例如Linux係統下的Libcap、Windows係統下的Winpcap[11]以及Java中間件JPCAP。但是,單單捕獲數據包並不能保證數據的正確性。因為同一數據流中的數據包可能經過不同的網絡路徑到達目的地,造成數據包的不同時延、丟失、亂序等現象出現。因此,將從網絡中間鏈路捕獲來的數據包整合成有序的、不丟失的有序數據流的技術成為了很多安全係統研究的關鍵技術。

  基於以上考慮,本文基於哈希表和TCP鏈接序列號的TCP數據重組算法[12],根據TCP鏈接的特點提出了一個高效的TCP算法,使得哈希映射的衝突盡可能的低,同時利用哈希表實現簡單的特點,提高了TCP重組的效率。其基本思想是:對於一個捕獲的數據包,需要根據一個哈希函數將其映射到哈希表中,同時根據哈希表中TCP鏈接數據流的接收序列號來判斷該數據包是否合法。利用哈希表查找的高效性保證高速大流量TCP數據流重組,利用數據包的序列號保證數據包接收的正確性。TCP重組算法流程圖如圖3所示。

第1頁  第2頁  第3頁  

http://www.autooo.net/autooo/wuxiantongxun/jishu/2017-04-10/171616.html