计算机网络安全监控系统的设计与实现_何一鸣.pdf

29网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering互联网时代，网络安全问题越来越不能忽视，一旦发生会对企业造成严重影响。为了做好网络安全工作，很多企业希望通过计算机网络安全监控系统来实现网络系统安全稳定运行。本文对相关技术进行了介绍，设计并实现了计算机网络安全监控系统，采用分布式技术改进通信子系统，以确保计算机网络安全监控系统的安全稳定运行。1 绪论信息技术的发展，不断改变着人们的通讯和交流方式，既给人们的生活带来了极大便利同时也隐藏着难以预料的隐患。网络攻击是一直存在的现象，很多重要机密的敏感信息一旦泄露，就会造成严重的负面影响和极大的经济损失，甚至威胁社会和国家安全1。面对这些问题，我们既要跟上时代信息化的潮流，又要运用可靠有效的手段保证信息化的安全，而计算机网络安全监控系统满足了这一需要。2 相关技术介绍2.1 网络安全机制和技术措施目前，国内外常用的有加密机制、访问控制、病毒防护及身份鉴别等四类网络安全机制。就上述几种机制采取的措施有2：面向网络和服务的加密技术、防火墙技术、审计监控、数字签名技术、防病毒技术、鉴别技术、入侵检测技术等，这些技术措施都是保证计算机网络安全的有力手段。2.2 国内外典型的网络安全技术2.2.1 防火墙系统防火墙的主要功能有检测并警告网络攻击、禁止非法访问行为、监听通过网络的数据包、记录允许的信息和行为、管理网络访问行为等，防火墙系统仅允许授权数据通过，禁止陌生用户非法访问内部资源，有效保护内部网络的数据、资源和设备，对网络之间的访问行为进行控制，从而增强计算机网络的安全性。2.2.2 入侵检测系统目前，入侵检测系统有基于主机和网络两类，前者查看和识别日志中的可疑行为并采取相应措施，后者对数据流进行监听，查看是否包含恶意入侵，一旦发现马上采取相应措施。入侵检测系统对网络的使用情况进行监听，检测和识别系统外非法入侵和系统内越权使用等情况，记录用户的操作和历史行为，在特定情况下可作为证据和依据。2.2.3 虚拟专用网 VPN 技术VPN 的基本功能有身份和信息认证、访问权限控制和数据加密等，通常可以通过多种方法来实现，如专用 VPN 设备、基于防火墙的 VPN 等。VPN 技术提供端到端的安全通道，可以实现数据安全传输，使内部网与公司分支机构、远程用户等通过安全连接进行可靠数据传输。2.2.4 其他安全技术和产品还有很多的安全技术在软件或硬件上保证网络、主机安全，如数字凭证、密码技术、认证中心以及数字邮戳等技术3。防火墙主要作用于内外部之间，加强网络之间的控制；入侵检测技术主要用于检测和识别外部非 计算机网络安全监控系统的设计与实现何一鸣（广西大学计算机与电子信息学院 广西壮族自治区南宁市 530004）摘要：本文对相关技术进行了介绍，设计并实现了计算机网络安全监控系统，采用分布式技术改进通信子系统，以确保计算机网络安全监控系统的安全稳定运行。随着信息技术与生产活动深度融合，网络技术在给人类带来诸多方便的同时也产生了许多问题。目前，网络安全已进入人们的视野并逐渐受到重视，特别是计算机网络安全监控系统能辅助管理人员监控计算机，在网络安全中具有重要的现实意义。关键词：分布式技术；网络安全；监控系统30网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering法入侵；VPN 的作用是在内外部建立一条安全可靠的传输通道；认证技术可实现只有合法用户可以访问内部资源。未来的计算机网络安全监控系统要融合上述各种技术的优点，采取有效措施避免它们的局限性，使网络安全监控系统不仅具有一定的灵活性和开放性，还能有力保障计算机网络内部数据和资源的安全。3 系统总体结构设计与实现3.1 系统功能和设计目标系统的主要功能包括系统管理类、系统控制类及监控类等基本功能4。其中，系统管理类功能包含管理员操作日志、受控机消息日志、违章连接日志等系统日志管理功能和受控机参数设置、操作管理策略、受控机 IP访问范围和系统监控受控机管理等配置管理功能。系统控制类功能主要包含远程关闭或重新启动计算机、控制网内计算机上进程和程序、网络相关管理人员可远程操纵网内计算机和远程锁定鼠标和键盘等功能；监控类功能主要包含监控、控制本地计算机使用 Modem 拨号上网、自动发现并控制不合法的网络连接、自动监控受控机是否在监视范围内以及自动发现出现在网络内的陌生计算机等功能。另外，系统还有监控代理、网络嗅探器及监控台等功能，其中监控代理主要包括接受监控台关闭或重启等操作和连接请求、定期检测进程和连接是否合法、接受来自监控中心的非法地址或是非法进程表等控制策略以及依照相关策略关闭非法进程和连接等功能；网络嗅探器主要包括非有非法网络连接时发出警报、自动探测陌生计算机入网以及监控网络数据流等功能；监控台主要提供受控机和监控中心之间相关的所有管理界面，如日志查询界面、所有活动监控列表界面等。在深入研究各种网络安全技术的基础上，结合实际需求，本文设计的安全监控系统采用分布式 C/S 架构，主要的组成部分有监控代理、数据中心服务器和监控台，同时添加网络嗅探器辅助子系统。该安全监控系统使用智能代理，融合最新技术，最终期望其具备一定的通用性、灵活性、继承性、完备性、易用性和实时性，同时具有较好的性能。3.2 硬件体系结构整个监控系统的四大主要组成部分是监控代理、数据中心、监控台以及网络嗅探器。其具体的硬件体系结构如图 1。受控客户机上运行有监控代理服务，该代理服务向数据中心或监控服务器实时汇报受控机的行为、状态等信息，同时给客户机转达监控服务器命令5。其中，系统的核心是数据中心，用于保存和处理系统的日志和运行数据，同时是子系统之间的桥梁。通常，监控中心保存管理来自受控机的违法连接、更新受控机访问地址和控制等策略、活动受控机列表及来自网络嗅探器的报警信息等。网络嗅探器通常安装在路由器或网关等关键路径上，用于分析数据包协议和窃听数据包，使系统实时掌握网络运行情况，如陌生计算机接入等。4 关键子系统设计与实现4.1 通信子系统设计系统通过 TCP 协议和应用层接口协议进行通信，数据传输过程中，可能因数据被监听和篡改、软硬件故障、网络延迟等问题产生不正确和延时报文6，为了保证数据正确、传输可靠，本文采用一些有效措施来解决这些问题，主要思路是放弃不正确和延时报文。通常，通过缓冲区来记录报文的发送及接受情况，同时设定报文段长度及编号以防止报文错乱，系统会直接抛弃出现异常的报文列表。这又会引发另一个问题是，当接收方和发送方开始通信后，异常的报文列表被放弃，图 1：硬件体系结构31网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering此时发送方仍在发送数据，可能出现的一种情况是这些报文都被视为异常报文被接收方放弃。为了使放弃异常报文列表和其他正常报文的发送和接受之间不互相干扰，本文安全监控系统具体的办法是，利用 TCP 协议后一个报文不会先于前一个报文到达的特点，为第一个报文添加标识，从而实现放弃某一报文列表时，可正常接受其他报文，仅需要开辟一块新的空间用以接受其他报文列表。4.2 通信子系统改进安全监控系统如果采用传统 C/S 结构，监控代理、嗅探器等都需要与数据中心相连，随着用户需求的不断变化和系统的不断升级，结构会愈加复杂，同时维护难度增大，例如数据中心地址发生变动，需要对所有相关模块重新设置，这种是极不容易的。使用传统 C/S 结构会存在效率低下、耦合高、安全性和整合性能较差、不易维护和负载均衡能力弱等问题7，改进措施是采用分布式系统架构。本文采用了 ZeroC 公司的 ICE 技术，这种分布式技术具有灵活轻便、简单易用、功能强大、可伸缩性和性能更好等优点。通过 ICE 技术对通信子系统进行改进，改进的两个主要思路是，其一是通信作为一个模块独立出来，向其他模块提供可调用的接口，降低了系统模块之间的耦合性；其二是利用通信代理模块实现各个模块之间的通信，通信代理模块向目的模块转发需要通信的模块的通讯请求。同时，通信代理模块还负责实现负载均衡，通过这种方式，通讯时各模块不需要知道数据中心所在的物理地址，仅需向代理模块提交请求即可，使资源利用率增加、系统更稳定强健。通过上述改进，减低了模块之间耦合性，可以将更多时间精力放在业务逻辑上，又使系统具有较好的负载平衡性，提高了监控系统的整体性能。4.3 嗅探器的设计与实现嗅探器子系统是安全监控系统的一个辅助系统，主要用于探测陌生机器和监听网络数据流，同时和各个监控代理相互配合对受控机状态进行判断。其具体系统结构图见图 2。嗅探器主要负责维护已注册合法机器、宿主计算机和在线受控机活动列表三个列表，对截获数据包进行协议解析以判断它的来源，主要是对比三个列表的实时信息和来源信息，发现陌生的来源信息，从而向数据中心汇报。另外，嗅探器对全网网络连接状态的消息进行实时维护，第一时间发现非法连接，向数据中心汇报的同时利用已设定的策略作出相应措施，对非法网络连接通信进行干扰。4.4 监控代理代理在传统安全监控系统中的作用是有限的，但在未来实时的监控系统中，代理是真正的执行者，是系统的重要组成部分，有助于提高系统的效率和性能。本文的安全监控系统中监控代理要具有一定的完备性、自主性、可拓展性、独立性，要始终贯穿在监控系统的运行过程中，自发地开展工作，具有一定可拓展性以满足不断变化的需求，并且和被控系统用户是独立关系。4.5 数据中心数据中心是安全监控系统的核心部分，是通讯枢纽、图 2：嗅探器系统结构图32网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering消息中转站，承担着大部分事务处理的工作，直接决定着监控系统的效率和性能8。数据中心会统一集中管理网络上全部的受控机，如受控机操作控制、策略管理及状态判断，系统运行日志等；是消息中转站和通信枢纽，接受来自各模块发送的消息和请求，经过分析和处理进行响应发出相应的指令；与网络嗅探器共同监管网络中的可疑行为、非法计算机以及监听全网络的数据流；与数据库保持交互，提供对数据库的访问管理和各种操作。4.6 监控台监控台是监控系统和相关管理人员的交互界面，用于向监控代理、数据中心及嗅探器传达来自管理员的各种指令，为了更好的适应需求和具备一定的灵活性，本系统的监控服务器尽可能满足界面友好性、具有安全验证机制、能被代理控制、可以和数据中心等设备实时交互等 要求。监控台界面提供了全网网络状态监控、管理员管理、日志管理、系统设置与登录、受控机监控和配置管理等功能入口。左侧结构树显示嗅探器和受控机树图，点击后悔进入具体的监控窗口；监控区显示的是活动进程、网络连接状态等具体监控信息；消息区显示各种报警消息；工具栏还提供用于控制、配置和系统相关的系列快捷按钮。5 系统测试和结论分析5.1 监控台监控台的核心功能是人机交互，安全监控系统经过一定测试，所有模块均正常显示，所有按键触发功能均是相对应的功能；同数据中心的数据交互均得到了预期结果；监控台可流畅控制远程桌面，并且使用鼠标完成各种操作。5.2 数据中心数据中心的核心功能是数据中转，测试过程中，向监控台发送的消息均能正确接受和转发；对代理列表的维护、日志记录等都符合预期结果。5.3 监控代理监控代理是安全监控系统的核心功能，选用 USB和 Modem 两种设备用于监控代理功能测试，先设置相关的安全策略，然后分别允许或禁止设备使用，均按照预期实现了控制；可根据一定安全策略识别非法进程和非法连接，并在第一时间关闭；能够正常接受受控机各种请求，并正确地响应给监控台。6 结语本文对计算机网络安全