譚　寧

[摘要]針對目前網(wǎng)絡(luò)終端監(jiān)控軟件存在的一些問題，提出改進(jìn)的網(wǎng)絡(luò)終端監(jiān)控系統(tǒng)模型，設(shè)計(jì)監(jiān)控客戶端、服務(wù)器端的功能模塊。

[關(guān)鍵詞]網(wǎng)絡(luò)終端 監(jiān)控系統(tǒng) 客戶端 服務(wù)器

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0520065－01

目前，網(wǎng)絡(luò)的安全防御主要側(cè)重于保護(hù)網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的安全，而網(wǎng)絡(luò)內(nèi)部的終端安全也是非常重要的。特別對于局域網(wǎng)和企業(yè)內(nèi)聯(lián)網(wǎng)，一方面需要保護(hù)網(wǎng)絡(luò)內(nèi)部合法用戶的安全，另一方面還需要監(jiān)控網(wǎng)絡(luò)中非法用戶的越權(quán)操作、上網(wǎng)情況。故提出網(wǎng)絡(luò)終端監(jiān)控系統(tǒng)（Network Terminal Monitoring Systems，NTMS）模型，并在此模型基礎(chǔ)上對網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行模塊劃分和模塊設(shè)計(jì)。

一、NTMS模型設(shè)計(jì)

網(wǎng)絡(luò)終端監(jiān)控系統(tǒng)模型致力于解決目前大多數(shù)網(wǎng)絡(luò)終端監(jiān)控軟件存在的兩個(gè)問題：第一，監(jiān)控客戶端顯式運(yùn)行，容易被破壞；第二，監(jiān)控雙方采用明文傳輸，容易被截獲破解。該系統(tǒng)設(shè)計(jì)了一個(gè)監(jiān)控網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)主機(jī)關(guān)鍵信息的網(wǎng)絡(luò)終端監(jiān)控系統(tǒng)，采用C/S結(jié)構(gòu)，客戶端運(yùn)行在各主機(jī)節(jié)點(diǎn)上、負(fù)責(zé)收集主機(jī)上的關(guān)鍵系統(tǒng)信息，然后發(fā)送給網(wǎng)絡(luò)內(nèi)的服務(wù)器端，由服務(wù)器端收集并整理這些信息，為進(jìn)一步分析提供數(shù)據(jù)支持。

網(wǎng)絡(luò)監(jiān)控系統(tǒng)基于同一個(gè)網(wǎng)絡(luò)內(nèi)，監(jiān)控各節(jié)點(diǎn)主機(jī)的關(guān)鍵信息。網(wǎng)絡(luò)通過裝有防火墻的路由器與因特網(wǎng)相連。匯集到監(jiān)控服務(wù)器的節(jié)點(diǎn)信息可以作為網(wǎng)絡(luò)管理員的分析來源，也可以作為入侵檢測系統(tǒng)或者相關(guān)部門取證的數(shù)據(jù)輸入。

系統(tǒng)主要應(yīng)用于內(nèi)部局域網(wǎng)，體系結(jié)構(gòu)采用得到廣泛應(yīng)用的C/S結(jié)構(gòu)。本系統(tǒng)分為兩部分：監(jiān)控客戶端和監(jiān)控服務(wù)器端。監(jiān)控客戶端隱蔽的運(yùn)行于網(wǎng)絡(luò)各臺(tái)主機(jī)上，將主機(jī)有關(guān)信息發(fā)送給監(jiān)控服務(wù)器端。監(jiān)控服務(wù)器端獨(dú)立運(yùn)行于網(wǎng)絡(luò)某臺(tái)單獨(dú)的主機(jī)上。

1．客戶端運(yùn)行著監(jiān)控驅(qū)動(dòng)程序，它是整個(gè)系統(tǒng)的數(shù)據(jù)源，由于采用了進(jìn)程隱藏技術(shù)，使得監(jiān)控程序能夠防止被強(qiáng)行結(jié)束，從而保證監(jiān)控的連續(xù)性和可靠性。

2．為了減輕客戶端的負(fù)荷以及出于安全方面的考慮，系統(tǒng)采用集中式的數(shù)據(jù)管理辦法，統(tǒng)一進(jìn)行數(shù)據(jù)的管理和匯總，這樣維護(hù)數(shù)據(jù)的完整性和穩(wěn)定性變得容易許多，同時(shí)有利于服務(wù)器端快速的檢索和顯示數(shù)據(jù)。

3．從總體結(jié)構(gòu)上看，本系統(tǒng)可以分為兩大部分：客戶端和服務(wù)器端。服務(wù)器端從層次上看有二層結(jié)構(gòu)：進(jìn)行數(shù)據(jù)處理和維護(hù)的后臺(tái)，數(shù)據(jù)顯示和匯總的前臺(tái)。這樣結(jié)構(gòu)的一個(gè)明顯的好處是模塊獨(dú)立化，符合軟件工程的高內(nèi)聚、低偶合的開發(fā)模式。一旦其中的一臺(tái)計(jì)算機(jī)出現(xiàn)錯(cuò)誤，不會(huì)影響其他機(jī)器數(shù)據(jù)的準(zhǔn)確性。前臺(tái)的主要作用就是對特定的數(shù)據(jù)進(jìn)行不同方式的顯示，即根據(jù)不同的查詢要求顯示相應(yīng)的記錄、各類數(shù)據(jù)的匯總，后臺(tái)主要完成對前臺(tái)的支持，包括數(shù)據(jù)的完整性約束、增加新的客戶端、對各種數(shù)據(jù)進(jìn)行建檔、運(yùn)行時(shí)的維護(hù)管理、系統(tǒng)維護(hù)等。通過這樣的處理，能夠大大降低客戶端的負(fù)荷，使之工作效率提高，運(yùn)行穩(wěn)定。即使監(jiān)控端和其中的一臺(tái)計(jì)算機(jī)之間的通信過程中發(fā)生錯(cuò)誤，也不會(huì)影響到其他客戶端計(jì)算機(jī)的運(yùn)行，使各個(gè)客戶端的運(yùn)行相互獨(dú)立，從而更好地提高系統(tǒng)的穩(wěn)定性。

二、NTMS結(jié)構(gòu)設(shè)計(jì)及功能模塊

NTMS劃分兩個(gè)部分：服務(wù)器端、客戶端。服務(wù)器端主要包括安全監(jiān)控模塊、即時(shí)通信監(jiān)控模塊、信息顯示模塊、集成工具模塊和中心數(shù)據(jù)庫。客戶端包括通信模塊和隱藏模塊。下面將詳細(xì)介紹各個(gè)模塊的功能。

（一）服務(wù)器端監(jiān)控模塊

1．安全監(jiān)控模塊包括：局域網(wǎng)掃描處理模塊、端口匯總處理模塊、過濾分析處理模塊、日志處理模塊、防火墻處理模塊等。通過監(jiān)控服務(wù)器對局域網(wǎng)內(nèi)所有流入和流出的IP地址、端口進(jìn)行動(dòng)態(tài)分析，根據(jù)端口和流入和流出的數(shù)據(jù)包分析異常，判斷是否非法操作。按IP地址進(jìn)行端口匯總查看非法使用的網(wǎng)絡(luò)進(jìn)程。對異常的IP地址可以單獨(dú)分析，判斷非法操作的主要對象?？梢岳梅阑饓Χ丝诤偷刂愤M(jìn)行封鎖。2．信息顯示模塊包括：抓屏處理模塊、客戶端鎖定模塊、通信處理模塊、客戶端管理模塊等。主要定期監(jiān)視客戶端，對流量發(fā)現(xiàn)異常，進(jìn)行遠(yuǎn)程抓取客戶端直接查看屏幕，若發(fā)現(xiàn)非法使用，用消息模塊發(fā)出警告提示，若不理會(huì)，那就鎖定客戶端或者遠(yuǎn)程關(guān)閉客戶端。3．即時(shí)通信模塊。主要針對在非正常時(shí)間使用如QQ、MSN等進(jìn)行內(nèi)容和消息捕捉等。4．集成工具模塊包括：路由測試和聯(lián)通測試。利用些工具對本地局域網(wǎng)測試連通性和遠(yuǎn)程網(wǎng)絡(luò)路由的功能測試，使管理員能快速找到網(wǎng)絡(luò)故障的原因。5．中心數(shù)據(jù)庫。主要對產(chǎn)生的各種數(shù)據(jù)進(jìn)行存儲(chǔ)和管理，是系統(tǒng)監(jiān)控?cái)?shù)據(jù)的存儲(chǔ)中心。

（二）客戶端監(jiān)控模塊

客戶端由消息部分、本地接受服務(wù)器發(fā)的請求處理模塊組成，通過這些功能表之間的相互作用，可以保證整個(gè)系統(tǒng)完整性?？蛻舳酥饕ㄒ韵聨讉€(gè)部分：1．信息捕獲部分：主要負(fù)責(zé)收集主機(jī)上的關(guān)鍵系統(tǒng)信息；2．通信模塊：主要功能是接受服務(wù)端發(fā)送來指令或消息，做出相應(yīng)的回應(yīng)，如鎖定/解鎖、關(guān)機(jī)等指令，同時(shí)實(shí)現(xiàn)與服務(wù)器端之間加密通信；3. 隱藏模塊：主要負(fù)責(zé)客戶端的自動(dòng)加載和對應(yīng)進(jìn)程自動(dòng)隱藏。

三、系統(tǒng)的運(yùn)行環(huán)境

1．硬件環(huán)境。主要對服務(wù)器發(fā)出的指令做出回應(yīng)，如鎖定/解鎖、關(guān)本系統(tǒng)采用基本的C/S結(jié)構(gòu)，客戶端和監(jiān)控端對硬件沒有什么特殊要求，由于整個(gè)系統(tǒng)運(yùn)行在基于TCP/IP協(xié)議之上，因此兩端的計(jì)算機(jī)必須都安裝網(wǎng)卡并且能夠正常工作。在經(jīng)濟(jì)條件允許的條件下，監(jiān)控端應(yīng)該采用高性能的機(jī)器配置，因?yàn)閿?shù)據(jù)的統(tǒng)計(jì)處理都是在監(jiān)控端完成的。由于本系統(tǒng)從總體上來說對機(jī)器的硬件配置要求不高，因此有著更廣泛的適用空間。

2．軟件環(huán)境。無論是客戶端還是監(jiān)控端都要求操作系統(tǒng)的版本要達(dá)到WinNT/Win98/ Win2000/WinxP以上，對保存圖像結(jié)果的是ACCESS2000實(shí)現(xiàn)的，因此監(jiān)控端必須安裝OFFICE。

3．系統(tǒng)的開發(fā)工具。在系統(tǒng)需求已經(jīng)相對確定的情況下，開發(fā)工具的選取將會(huì)對整個(gè)系統(tǒng)的開發(fā)效率和周期產(chǎn)生非常重要影響）合理選擇開發(fā)工具將會(huì)提高開發(fā)效率，降低開發(fā)成本，提高系統(tǒng)穩(wěn)定性，同時(shí)使系統(tǒng)的維護(hù)更加容易。

由于產(chǎn)生的數(shù)據(jù)類型相對簡單，本系統(tǒng)的后臺(tái)數(shù)據(jù)庫采用了Access，這樣可以使得操作數(shù)據(jù)庫簡單方便。無論客戶端和監(jiān)控端的開發(fā)，都需要直接調(diào)用大量系統(tǒng)提供的API，為了整個(gè)系統(tǒng)開發(fā)的一致性和后續(xù)開發(fā)的連貫性，所有的模塊設(shè)計(jì)和開發(fā)完全采用VB6.0來實(shí)現(xiàn)?？梢苑奖憧旖莸卣{(diào)用Windows系統(tǒng)提供的各個(gè)接口函數(shù)，還可以充分利用模塊化的思想來構(gòu)建整個(gè)系統(tǒng)的架構(gòu)。由于系統(tǒng)開發(fā)過程中各個(gè)模塊的實(shí)現(xiàn)是基于組件形式分別來完成的，所以后繼開發(fā)和維護(hù)都較方便。

參考文獻(xiàn)：

[1]商諾諾、周欣明、王東，計(jì)算機(jī)網(wǎng)絡(luò)安全及防范策略探討[J].黑龍江科技信息，2008（9）.

[2]陳斌，計(jì)算機(jī)網(wǎng)絡(luò)安全與防御[J].信息技術(shù)與網(wǎng)絡(luò)服務(wù)，2006（4）.

[3]戴玉潔，關(guān)于網(wǎng)絡(luò)入侵檢測系統(tǒng)的技術(shù)改進(jìn)[J].福建電腦，2007（02）.

作者簡介：

譚寧，男，漢，淄博職業(yè)學(xué)院信息工程系，副教授，研究方向:計(jì)算機(jī)網(wǎng)絡(luò)。